Comment rendre votre application mobile conforme au RGPD

Qu'est-ce que le RGPD ?

RGPD signifie Règlement général sur la protection des données.
Le GDPR sera applicable à partir du 25 mai 2018. Il est conçu pour protéger le stockage et l'utilisation des données des utilisateurs, et pour garantir que l'utilisateur contrôle ses données, plutôt que les entreprises en charge des données des utilisateurs.

Définitions clés du RGPD

Pour vous aider à comprendre le RGPD pour les applications, il existe quelques définitions clés auxquelles nous nous référerons tout au long de cet article.
Responsable du traitement : Un responsable du traitement est l'entité qui détermine les finalités et les moyens de collecte et de traitement des données personnelles. Si vous possédez un site Web ou une application mobile et que vous décidez de ce qui est collecté, comment il est collecté et dans quel but, vous êtes un contrôleur de données.
Processeur de données : un processeur de données est une organisation qui traite des données personnelles pour le compte d'un contrôleur de données. Par exemple, des services tiers qui se connectent à votre site Web ou à votre application, tels que Analytics (Google Analytics, KISSMetrics), Cloud Services (AWS), qui accèdent ou hébergent vos données client.
Personne concernée : une personne physique dont les données sont traitées. Par exemple, un utilisateur d'application ou un visiteur de site Web.
Pour une liste complète des définitions du RGPD, vous pouvez lire l' article 4 du règlement.

Le RGPD me concerne-t-il ?

Très probablement oui!
Le RGPD s'applique à toutes les entreprises ayant des clients ou des visiteurs de sites Web/d'applications mobiles originaires de l'Union européenne (UE). Cela signifie que toute organisation dans le monde qui travaille avec les données personnelles des résidents de l'UE de quelque manière que ce soit a l'obligation de protéger les données de ses utilisateurs et de se conformer au RGPD.

À quoi les « données personnelles » font-elles référence dans le cadre du RGPD ?

Les « Données Personnelles » au sens du RGPD comprennent toute information relative à une personne identifiable qui peut être identifiée directement ou indirectement notamment par référence à un identifiant.
La portée de ceci est large et comprend tout, des informations personnelles à un cookie placé sur le navigateur de quelqu'un par un outil de suivi analytique que vous pourriez utiliser pour suivre l'utilisation de votre site Web.
Pour votre site Web ou vos applications, cela signifie que vous devez tenir compte de la manière dont vous collectez et stockez les informations d'identification personnelles telles que les noms et les adresses e-mail, mais également tenir compte d'éléments tels que les adresses IP des utilisateurs et les identifiants d'appareil (identifiants uniques que les appareils partagent avec des SDK externes). pour les publicités et les analyses).

Que signifie le RGPD pour votre application mobile ?

Les amendes pour non-conformité au RGPD sont élevées – soit 4 % du chiffre d'affaires mondial annuel, soit 20 millions d' euros (selon le montant le plus élevé !).
La conformité au RGPD devenant une exigence pour toutes les entreprises ayant des clients, des visiteurs de sites Web ou des utilisateurs d'applications dans l'UE, vous vous demandez probablement si votre application mobile est conforme ou non au RGPD.
En tant qu'éditeur d'applications mobiles, vous devrez comprendre comment vous obtenez, transférez, stockez et gérez vos données utilisateur. Vous devriez prendre un peu de temps pour comprendre exactement comment vous assurez actuellement la sécurité des données de vos utilisateurs et ce que vous pouvez faire pour l'améliorer afin d'avoir une application mobile conforme au RGPD.
Cennydd Bowles résume pourquoi vous devriez être conforme, même si cela peut représenter beaucoup de travail au départ : « Vous pouvez vous retrouver avec des informations client moins riches qu'auparavant. Certains KPI peuvent chuter. Mais pour les entreprises qui entretiennent des relations directes avec leurs clients, tout est gérable et, en plus, vous réduisez non seulement votre risque de non-conformité, mais vous bénéficiez également de la confiance accrue que vos clients vous accorderont et du monde en ligne en général.
Certains éléments clés pertinents pour votre application mobile et votre entreprise en général vous aideront à garantir la conformité au RGPD.
Faites défiler vers le bas pour trouver les 9 éléments à prendre en compte afin d'avoir une application mobile conforme au RGPD.

1. Confidentialité dès la conception

La confidentialité dès la conception est désormais une obligation légale en vertu du RGPD. Dès le moment où vous commencez à créer votre application mobile, vous devez tenir compte de la confidentialité de vos utilisateurs.
Selon l' article 23 du RGPD , votre application ne doit contenir et traiter que les données utilisateur absolument nécessaires.
Cela signifie que lorsque vous développez votre application mobile ou que vous la faites développer par un tiers, vous devez tenir compte de la protection des données et de la confidentialité des utilisateurs.
La confidentialité dès la conception n'est pas un nouveau concept et consiste à penser à la confidentialité des données de vos utilisateurs dans votre application, votre site Web ou votre logiciel dès le début, plutôt que de la laisser après coup. L'idée de confidentialité dès la conception implique de décider quelles données vous avez besoin et quelles données vous n'avez pas. Dans l'aperçu de Brian Pagan sur la conception d'applications soucieuses de la confidentialité, il vous demande si vous avez vraiment besoin d'un nom d'utilisateur ET d'une date de naissance. Dans de nombreux cas, un seul de ces champs suffit. Il écrit: "le risque que quelqu'un ouvre une carte de crédit à mon nom dépasse de loin l'avantage d'obtenir ce" joyeux anniversaire " pourriel e-mail marketing de votre entreprise.
Il vaut la peine de considérer toutes les options lors de la conception et de la création de votre application mobile.
En plus d'être une obligation légale, les utilisateurs de votre application apprécieront les considérations de confidentialité supplémentaires que vous avez mises en place à leur avantage !

Notre recommandation :

Pensez à vos données d'utilisateur dès le début et ne le laissez pas être une réflexion après coup.
Si des pages de votre site Web se chargent dans votre application mobile (par exemple, un formulaire de contact), tenez compte de la collecte de données effectuée sur le site Web lors de l'examen de votre application.
Vous devriez penser à la confidentialité dès la conception lorsque vous créez de nouvelles fonctionnalités ou créez une nouvelle page sur votre application afin de rester conforme au RGPD.
En plus de cela, vous devez crypter les données personnelles avec des algorithmes de cryptage puissants. Cela vous aidera à minimiser l'impact d'une violation de données.

2. Demandez un consentement explicite

En vertu du RGPD, les entreprises doivent demander et recevoir le consentement de l'utilisateur afin de collecter, d'utiliser et de déplacer des données personnelles.
Cela inclut les données collectées pour la publicité, l'analyse, la journalisation des incidents ou toute autre chose. L'opt-in doit être compréhensible et clair. Vous ne pourrez pas vous en sortir avec des termes et conditions déroutants que personne n'est susceptible de lire ou de comprendre pleinement.
Le consentement explicite peut être accordé facilement via un écran d'inscription au lancement de votre application. Les utilisateurs de votre application ont choisi de télécharger votre application en premier lieu, il est donc probable que la plupart des gens seront heureux d'accorder leur consentement afin d'utiliser votre application et de recevoir d'autres communications de votre entreprise, à condition que le destinataire puisse voir un avantage.
Vos utilisateurs doivent également pouvoir retirer leur consentement aussi facilement qu'ils peuvent le donner. Vous devrez peut-être mettre à jour votre politique de confidentialité pour résoudre ce problème et ajouter une autre page sur votre site Web où les utilisateurs peuvent se désinscrire.

Notre recommandation :

Lorsqu'une personne s'inscrit sur votre application mobile, elle doit être invitée à s'inscrire pour que ses données soient collectées ou pour recevoir des communications, telles que des e-mails ou des notifications push. Nous vous recommandons fortement d'afficher un écran de consentement au lancement de l'application, car c'est le seul moyen d'être entièrement conforme au RGPD. Vous devez également indiquer aux utilisateurs sur ces écrans exactement où leurs données seront utilisées. Par exemple, seront-ils suivis dans Google Analytics ou des données seront-elles envoyées à Google Admob pour leur montrer des publicités pertinentes ? Vos utilisateurs doivent le savoir, et il est de votre devoir de les informer dès qu'ils commencent à utiliser votre application mobile conforme au RGPD !
En plus de cela , votre application mobile conforme au RGPD devrait avoir une page dédiée où les utilisateurs peuvent refuser de recevoir vos communications ou demander que leurs données leur soient supprimées.
MobiLoud fournit aux applications mobiles une page de paramètres de notification push, ce qui aide au moins pour ce qui concerne les notifications de votre application.

3. Offrir de la visibilité et de la transparence

L'un des aspects les plus importants du RGPD est la manière dont les données que vous collectez sont réellement utilisées. Si vous êtes un contrôleur de données, vous devez savoir comment vos utilisateurs peuvent gérer et protéger efficacement leurs données utilisateur.
Prouver la visibilité et la transparence grâce à une politique de confidentialité claire et compréhensible profite non seulement aux utilisateurs de votre application mobile, mais c'est une exigence des App Stores. Google supprimera votre application s'il ne trouve pas de politique de confidentialité sur la page de profil de votre Play Store et accessible dans votre application.
Vous devez également fournir des informations à vos utilisateurs sur les tiers que vous utilisez pour collecter ou traiter les données des utilisateurs.
Par exemple, si votre application se connecte à des services externes tels que des solutions d'analyse des utilisateurs (par exemple, Google Analytics, Fabric), des fournisseurs de publicité (par exemple, Admob, MoPub) ou des fournisseurs de notifications push (par exemple, Firebase, OneSignal), vous devez le divulguer clairement aux utilisateurs. dans votre politique de confidentialité.
Vous devez également vous assurer que tous les fournisseurs tiers qui collectent des données utilisateur sont conformes au RGPD. Ils seront des "processeurs de données", tandis que vous restez le "contrôleur de données". En tant que tel, vous devez avoir mis en place des accords écrits qui répondent au niveau d'assurance en termes de protection et de sécurité des données requis par le RGPD. Pour certains d'entre eux, vous pourrez signer des accords de traitement de données qui ajoutent le libellé requis aux termes existants de votre accord.

Notre recommandation :

Créez ou mettez à jour la page Politique de confidentialité de votre application pour votre application mobile. Vous pouvez choisir d'avoir une barre latérale ou un élément de menu qui renvoie aux conditions légales de votre application mobile. Cela permettra aux utilisateurs de trouver, lire et comprendre facilement comment votre application mobile utilise leurs données.
Si vous avez créé votre application en fonction du contenu de votre site Web et que vous utilisez MobiLoud, cela est très simple et peut être fait en ajoutant un lien vers le menu de votre application à partir de l'onglet Configuration du menu dans les paramètres de votre application.

4 . Répondre aux demandes des utilisateurs

Si quelqu'un vous demande comment vous utilisez ses données, en vertu du RGPD, vous êtes légalement tenu de lui répondre. C'est ce qu'on appelle une demande d'accès au sujet.
Une demande d'accès au sujet peut être effectuée physiquement ou numériquement. Lorsqu'un utilisateur demande des informations sur ses données ou une copie de ses données utilisées dans votre application mobile, vous avez un mois pour répondre. Pour les demandes compliquées, vous aurez jusqu'à trois mois pour répondre.
Cela peut sembler comme si vous deviez investir plus de temps et d'efforts dans le service client, mais si votre entreprise est configurée pour avoir des processus conformes au GDPR, cela ne devrait pas prendre trop de temps. En fin de compte, fournir un service client de haute qualité à vos clients et aux utilisateurs d'applications mobiles est une bonne chose !
Au départ, vous pouvez répondre à ces demandes ad hoc, mais vous souhaiterez éventuellement disposer d'un processus interne pour générer une réponse à ce type de demande.

Notre recommandation :

Créez une page sur votre site Web et votre application mobile qui inclut vos coordonnées professionnelles. Cela permettra aux utilisateurs de vous contacter facilement et assurera la transparence de votre part. Efforcez-vous de répondre rapidement et clairement à toutes les demandes d'accès au sujet.

5. Le droit à l'oubli

L'article 17 du RGPD met en avant le droit à l'effacement, ou le « droit à l'oubli » . Cela signifie que lorsqu'un utilisateur vous demande de supprimer ses données acquises via votre site Web ou votre application mobile, vous êtes obligé de supprimer tous les détails personnels que vous détenez à son sujet dans tous les systèmes, que vous contrôliez ses données directement ou via un outil ou SaaS que vous utilisez. dans votre application (par exemple, Google Analytics).
Si vous souhaitez que votre application mobile soit conforme au RGPD, vous pouvez choisir de proposer des solutions telles que la suppression des données utilisateur de votre propre base de données directement depuis l'application, ou d'avoir un simple formulaire de contact ou une page dédiée où un utilisateur peut demander que ses données soient effacées. .

Notre recommandation :

Soyez transparent et permettez aux utilisateurs de vous contacter facilement au sujet de l'effacement de leurs données. Lorsque quelqu'un demande l'effacement de ses données, prenez la demande au sérieux et respectez-la sur chaque système que vous contrôlez.
Vous êtes également tenu d'informer les processeurs de données tiers que les données doivent également être supprimées de leurs serveurs. Cela peut être fait en appelant leur API qui permet la suppression des données personnelles (si cela est mis à disposition par le fournisseur).

6. Passez en revue les services et les SDK que vous utilisez

Si votre application envoie des données personnelles à un service externe pour traitement (par exemple pour analyser l'utilisation de l'application), vous devez être clair et transparent sur l'endroit où elles se trouvent et sur qui contrôlera les données transférées.
Ensuite, vous devez signer des accords de traitement de données (DPA) avec vos processeurs de données. Les contrats écrits entre votre entreprise et vos sous-traitants de données seront une exigence générale en vertu du RGPD. Le plus tôt vous le ferez, le mieux ce sera !
Ne partez pas du principe que tous les tiers et SDK connectés à votre application sont conformes au RGPD. S'il y a une violation de données sur l'un de vos tiers qui conduit à l'exposition de vos données d'utilisateur, vous êtes responsable.
Il est de la responsabilité du responsable du traitement des données, dans ce cas, vous, l'éditeur de l'application, de vous assurer que tous les processus de données de tiers sont conformes au RGPD et que des mesures de sécurité des données appropriées sont en place. Pour vous en assurer, vous devez parler directement à vos partenaires tiers, leur demander quelles sont leurs dernières politiques et conditions de confidentialité et ce qu'ils font pour se conformer au RGPD.
Vous devez analyser en profondeur les fournisseurs qui traitent vos données et prendre le temps de comprendre s'ils sont conformes ou non au RGPD. S'ils sont basés aux États-Unis, sont-ils enregistrés dans le cadre du bouclier de protection des données UE-États-Unis ? Toute entreprise peut s'auto-certifier en vertu de cela, et avoir cette certification est nécessaire pour que ce fournisseur soit conforme au RGPD.
Ça vaut le temps qu'il faut -
Marcus Turner, directeur technique d' Enola Labs , déclare : « En fin de compte, des niveaux plus élevés de cybersécurité sont un investissement nécessaire et rentable pour les propriétaires d'entreprise soucieux de protéger leurs clients et de protéger leur entreprise. Je dis souvent aux entreprises qu'elles peuvent payer un coût initial maintenant pour protéger leurs données, ou attendre une attaque de cybersécurité et payer un prix encore plus élevé plus tard pour nettoyer le gâchis. Attendre peut très bien vous coûter votre entreprise ».
Assurez-vous donc de prendre le temps d'examiner vos fournisseurs de technologie et d'investir dans ceux qui sont nécessaires pour protéger votre entreprise contre toute violation du RGPD.

Notre recommandation :

Vous ne devez avoir des contrats qu'avec des fournisseurs qui peuvent fournir une "garantie suffisante" que les exigences du RGPD seront respectées et que les données de vos utilisateurs seront suffisamment protégées.
De nombreux fournisseurs auront des pages RGPD sur leur site Web ou auront mis à jour leur politique de confidentialité ou leurs conditions générales pour garantir la conformité au RGPD. Vous devez vous familiariser avec cela ou parler à quelqu'un de leur équipe d'assistance ou juridique pour comprendre s'ils sont conformes ou non au RGPD.

7. Notifications de violation de données

Pour accroître la confiance entre les clients et les entreprises, et à la suite de violations de données notables d'entreprises telles que Yahoo!, Uber, Equifax et bien d'autres, le RGPD impose des délais plus courts pour que les entreprises informent les autorités nationales de surveillance et leurs utilisateurs. La divulgation doit avoir lieu dans les 72 heures.
Pour vous assurer que cela est possible pour votre entreprise, vous devrez peut-être investir dans la technologie pour assurer une surveillance continue de vos données, et cela vous avertira lorsque des risques sont présents. Vous devez également établir une procédure claire sur la manière dont vous réagirez à une violation de données, y compris la manière dont vous informerez les utilisateurs et comment vous protégerez leurs données.

Notre recommandation :

Établissez un processus clair, étape par étape, que vous pouvez utiliser en cas de violation de données, qui comprend la manière dont vous informerez les utilisateurs et les autorités nationales de contrôle de la violation.

8. Nomination d'un délégué à la protection des données

Votre entreprise peut avoir besoin de nommer un délégué à la protection des données (DPD) afin d'être conforme au RGPD. Cela s'applique à vous si :

• Vous êtes une autorité publique (à l'exception des tribunaux agissant dans l'exercice de leurs fonctions judiciaires) ;
• Vos activités principales nécessitent un suivi à grande échelle, régulier et systématique des individus (par exemple, suivi des comportements en ligne) ; ou
• Vos activités principales consistent en un traitement à grande échelle de catégories particulières de données ou de données relatives à des condamnations pénales et à des infractions.

Bien que cela ne s'applique pas à tous les lecteurs, si votre site Web ou votre application mobile traite de grandes quantités de données individuelles, vous devez déterminer si vous avez besoin ou non d'un délégué à la protection des données pour vous aider à surveiller la conformité interne, vous informer et vous conseiller sur les obligations de protection des données de votre entreprise. , et agir en tant que point de contact pour les personnes concernées (c'est-à-dire vos utilisateurs) et les autorités de contrôle.

Notre recommandation :

Évaluez si votre entreprise a besoin ou non d'un DPO pour être conforme. Si tel est le cas, vous devez en nommer un et informer les utilisateurs de votre site Web ou de votre application mobile de la manière dont ils peuvent contacter votre DPD.

9. Cryptage et stockage des données

Votre application mobile doit utiliser SSL ou HTTPS pour les communications externes. Lors de la communication d'informations personnelles de toute nature, ces données doivent être cryptées. Ne pas chiffrer les données signifie que les informations envoyées seront en texte clair et seront exposées sur Internet.
Si vous avez créé une application qui se connecte à votre site Web ou à vos serveurs Web et transmet des données sensibles (par exemple, un nom d'utilisateur/mot de passe), vous devez vérifier que vous utilisez SSL pour toutes les connexions depuis votre application.
Le chiffrement n'est pas seulement pertinent pour les communications externes. Toutes les données collectées par votre application mobile doivent être stockées dans un endroit sûr et vos sauvegardes doivent également être cryptées. Les utilisateurs doivent également savoir pendant combien de temps leurs données seront conservées.

Notre recommandation :

Assurez-vous que votre application utilise des communications sécurisées via SSL et HTTP, et assurez-vous que votre certificat SSL a été correctement déployé.
Toutes les données stockées doivent être cryptées et vous devez fournir aux personnes concernées la transparence de la durée pendant laquelle vous conservez ces données.

10. Enregistrez et justifiez votre collecte de données

L'article 30 du RGPD stipule que chaque responsable du traitement, ou représentant du responsable du traitement, "doit tenir un registre des activités de traitement sous sa responsabilité"
Cela signifie qu'afin d'assurer votre conformité au RGPD, vous devez commencer à documenter toutes les données que vous collectez (soit vous-même, soit par l'intermédiaire d'un tiers).
Vous devez créer un journal sécurisé et complet de vos activités de collecte de données.
Pour un bon exemple de la façon de procéder, nous vous recommandons de lire l' étape 1 du guide des ressources de démarrage pour la conformité au RGPD .
Ce journal doit inclure tous les types de données personnelles que vous collectez sur les visiteurs et les utilisateurs du site Web. Des noms des personnes (le cas échéant) aux adresses IP en passant par le pays dans lequel elles se trouvent.
Ensuite, vous devez justifier pourquoi vous collectez ces données. Vous devez identifier où vous les stockez, combien de temps elles sont stockées, comment la collecte de données peut-elle être justifiée, et plus encore.

Notre recommandation :

Assurez-vous d'être pleinement conscient de chaque type de données utilisateur que vous collectez et assurez-vous de pouvoir justifier pourquoi vous les collectez.
Une documentation claire et complète à laquelle vous pouvez vous référer vous aidera non seulement lorsque les clients ou les utilisateurs vous poseront des questions sur vos politiques GDPR, mais garantira la conformité réglementaire et protégera à la fois votre entreprise et votre application mobile.

Emballer

Le RGPD est une obligation légale et inévitable pour toute entreprise qui interagit de quelque manière que ce soit avec des personnes et des clients dans l'UE.
Toute personne dont les données sont traitées doit pouvoir exercer ses droits sur ses données, même si elles sont sous votre contrôle.
Vous aurez besoin d'une application mobile conforme au RGPD. Sans assurer la conformité, vous risquez de lourdes amendes et de perdre la confiance que vos clients ont en votre entreprise ! Pour cette raison, la création d'un processus garantissant la conformité de votre entreprise et de votre application mobile devrait être une priorité pour vous.
Nous pensons que vous ne devriez pas voir le GDPR comme un casse-tête, malgré ses règles strictes. Fournir à vos utilisateurs une application mobile conforme au RGPD leur fera savoir que vous les appréciez et que vous vous engagez à assurer la sécurité de leurs données. Pour de nombreuses entreprises, assurer la conformité sera une valeur ajoutée et incitera vos utilisateurs à faire confiance à votre application mobile, vous devriez donc l'adopter !
Si vous souhaitez en savoir plus sur le RGPD, nous avons inclus des liens vers plusieurs ressources ci-dessous :

• Lisez l'intégralité du règlement général sur la protection des données publié par le Parlement européen pour vous familiariser avec celui-ci.
• Lisez l'excellent guide de Kyvio pour comprendre le RGPD, cet article de SafeDK et ce guide pratique du RGPD pour les développeurs.
• Lire le guide rapide et sale de Startup Resources pour se conformer aux startups et aux petites entreprises
• Autocertifiez votre entreprise dans le cadre du bouclier de protection des données UE-États-Unis. Cela fournit aux entreprises des deux côtés de l'Atlantique un mécanisme leur permettant de se conformer aux exigences de l'UE en matière de protection des données lors du transfert de données personnelles de l'Union européenne vers les États-Unis.

Si votre site Web est conforme au RGPD et que vous cherchez à créer une application mobile conforme au RGPD, MobiLoud propose une solution qui sera conforme au RGPD et fournira à votre entreprise une nouvelle plate-forme pour l'engagement et la portée des utilisateurs.