RGPD et GAFA : zoom sur leur mise en conformité

D’après une étude de SafeDK, 55% des applications mobiles ne sont toujours pas en accord avec la nouvelle réglementation européenne. Qu’en est-il des géants américains que sont les GAFA (Google, Amazon, Facebook, Apple) ?

Entre le scandale Cambridge Analytica qui a mit Facebook au centre de l’attention des autorités et le Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) qui entre en vigueur le 25 mai prochain en Europe, les choses s’accélèrent. Beapp vous propose un tour d’horizon de la mise en conformité des leaders du net dans le domaine du mobile.

App Store et Google play font le tri

Avant que la RGPD rentre en vigueur, les hébergeurs d’applications Apple et Google font le ménage des applications qui respectent pas les principes de la nouvelle réglementation sur leurs stores.

Apple fait par exemple disparaître de l’App Store les applications iOS qui fournissent les données de géolocalisation des utilisateurs à des tiers sans leurs accords. En effet, la société américaine souhaite non seulement que les applications présentes dans l’App Store demandent la permission d’utiliser les données des utilisateurs, mais également qu’elles les informent de l’utilisation qui en sera faite. Apple a prit la décision d’appliquer les règles de la RGPD aux utilisateurs du monde entier et cette disposition est de rigueur sur les tous les stores du monde.

Le 26 avril dernier, c’est l’application du journal français Le Figaro qui a été supprimée de l’App Store. En effet, l’application ne respectait pas les sections 5.1.1 et 5.1.2 de l’App Store : “Votre application transmet la data de géolocalisation des utilisateurs à des tierces parties sans leur consentement et à des fins inappropriées.” C’est le SDK de collecte de données de géolocalisation Teemo qui était mis en cause.

La sanction est sans appel : Le Figaro est suspendu du store (le a réglé le problème depuis). Voir l’article du JDN

Avec iOS et tvOS 11.3, Apple introduit une nouvelle fonctionnalité permettant à l’utilisateur de recevoir une notification lorsqu’un service ou une fonctionnalité du système d’exploitation demande d’accéder à des données sensibles de l’utilisateur.

Google s’aligne également sur la nouvelle réglementation et met en place Safe Browsing, un programme de surveillance qui vise à alerter sur les applications et sites “qui collectent des données personnelles de l’utilisateur sans son consentement”.

La RGPD pour l’application de Facebook

Suite au scandale de Cambridge Analytica, Facebook se réserve désormais le droit d’accepter ou refuser l’utilisation de son SDK pour les applications qui ne sont pas aux normes de la RGPD.

En ce qui concerne son application, les utilisateurs de Facebook ont reçu une notification leur demandant de vérifier les nouvelles conditions d’utilisation des données. C’est via un parcours clair et concis que le réseau social énumère les conditions à vérifier : l’utilisation des données personnelles par des partenaires afin de cibler les publicités, l’activation ou non de la reconnaissance faciale et enfin l’utilisation des cookies.

Pour que l’utilisateur accepte chaque condition, Facebook procède de la manière suivante :

1. Une première partie liste les données collectées et dans quel contexte.
2. Dans une deuxième partie il explique à l’utilisateur ce que cela lui apporte.
3. Enfin, pour chaque page, il est plus facile pour l’utilisateur d’accepter les conditions. Si l’utilisateur veut les refuser, il est redirigé vers nouvelle page permettant de gérer les données.

‍

Dans ce processus, le réseau social respecte les points principaux de la RGPD :

• Le responsable devra toujours pouvoir être en mesure de démontrer que la personne a donné son consentement, du moins dans les cas où ce recueil était nécessaire
• Idéalement, cela doit se faire par une déclaration écrite, mais une simple case à cocher lors de la consultation d’un site pourra suffire voire « un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte »

Un point assombri cependant le tableau, Facebook ayant dû faire face à une controverse concernant la reconnaissance faciale.

En effet, en 2012 Facebook avait dû supprimer cette option au sein de l’Union Européenne. Aujourd’hui, le réseau profite de la vérification de l’utilisation des données pour le reproposer. Même si le consentement des utilisateurs semble libre et éclairé, de nombreuses personnes ont trouvé que Facebook faisait tout son possible pour influencer le choix de ses utilisateurs.

Pour finir, l’acceptation globale des nouvelles conditions d’utilisation du service et notamment la partie consacrée au partage de données entre Facebook et ses filiales ne laisse pas d’autre choix à l’internaute que de valider ou de supprimer son profil. Facebook prend donc ici un risque aux vues des règles énoncées par le texte de la RGPD qui stipule que le consentement est valable que lorsqu’il n’y a pas de conséquences négatives importantes si celui-ci est refusé.

Amazon n’a pas encore communiqué sur le RGPD

Les utilisateurs d’Amazon et de son application n’ont reçu pour le moment aucune information quant à la mise en conformité des conditions d’utilisations des données.

Cependant Amazon surfe sur la vague de la RGPD en proposant à ses clients des services (AWS, amazon web services) et des ressources pour leur permettre de respecter les exigences du règlement susceptibles de s’appliquer à leurs activités. Les fonctionnalités proposées par AWS sont multiples : chiffrement, surveillance et journalisation, contrôle d’accès, confidentialité des données, sécurité dans la conception et certifications et programmes.