Sophie Laurent, YuSMP Group
Sophie Laurent Responsable juridique et conformité, YuSMP Group · RGPD, sécurité mobile, conformité UE/US

Pourquoi la conformité est urgente en 2026

Trois évolutions rendent la conformité RGPD plus urgente pour les applications mobiles en 2026 qu’elle ne l’était lors de l’entrée en vigueur du règlement en 2018 :

  1. Les autorités de contrôle sanctionnent activement. La CNIL en France, l’APD en Belgique et leurs homologues ont toutes intensifié leur activité d’enquête. Les amendes ne sont plus réservées aux géants de la tech — les PME et les startups reçoivent des mises en demeure et des sanctions, en particulier pour les applications sans politique de confidentialité conforme, les SDK publicitaires non consentis et les transferts de données hors UE non encadrés.
  2. Les stores exigent la conformité. Apple exige depuis 2022 des « nutrition labels » de confidentialité (Privacy Nutrition Labels) précis pour chaque application, et vérifie les pratiques déclarées via la revue. Google a suivi avec la Data Safety section sur le Play Store. Déclarer des pratiques inexactes peut entraîner le retrait de l’application du store.
  3. L’exposition aux risques augmente avec la base utilisateurs. Une application avec 100 utilisateurs est rarement une cible. Une application avec 10 000 utilisateurs traite des volumes de données qui intéressent les régulateurs. Mettre en conformité une architecture déjà en production est trois à cinq fois plus coûteux qu’intégrer la conformité dès la conception.

Privacy by design : principes techniques

Le privacy by design (article 25 du RGPD) impose que la protection des données soit intégrée dès la conception, pas ajoutée après coup. Pour les applications mobiles, cela se traduit par sept principes techniques :

1. Minimisation des données

Ne collectez que les données strictement nécessaires à la finalité déclarée. Si votre application de livraison a besoin de l’adresse de livraison, elle n’a pas besoin de la date de naissance. Si votre application de fitness suit les pas, elle n’a pas besoin d’accéder à la liste de contacts. Chaque champ de données collecté est un risque de conformité supplémentaire — et un vecteur d’attaque supplémentaire en cas de violation.

2. Limitation des finalités

Définissez à l’avance pour quoi vous utilisez chaque catégorie de données, et ne l’utilisez que pour cette finalité. Si vous collectez des données de localisation pour afficher des restaurants proches, vous ne pouvez pas ensuite les utiliser pour du ciblage publicitaire sans obtenir un consentement séparé et spécifique.

3. Limitation de la conservation

Définissez des durées de conservation explicites pour chaque type de données et implémentez des mécanismes de suppression automatique. « Nous conservons les données aussi longtemps que nécessaire » n’est pas une durée de conservation conforme. « Nous conservons les logs de connexion pendant 90 jours, les données de profil tant que le compte est actif, et les supprimons dans les 30 jours suivant la résiliation » l’est.

4. Chiffrement par défaut

Les données en transit doivent être chiffrées via TLS 1.2 minimum (TLS 1.3 recommandé). Les données sensibles au repos doivent être chiffrées avec AES-256. Les mots de passe doivent être hashés avec bcrypt, Argon2 ou PBKDF2. Sur iOS, utilisez le Keychain pour les tokens et données sensibles ; sur Android, le Android Keystore System. Ces pratiques ne sont pas optionnelles — elles sont l’implémentation technique du principe de sécurité des données de l’article 32 du RGPD.

5. Contrôle d’accès et moindre privilège

Chaque service, chaque composant et chaque membre de l’équipe ne devrait accéder qu’aux données dont il a strictement besoin. La base de données analytics ne devrait pas être accessible à l’équipe de support client. L’équipe de support ne devrait pas voir les données financières. Documentez vos contrôles d’accès — c’est ce que les régulateurs demandent en premier lors d’un audit.

Diagramme d'architecture de conformité RGPD pour application mobile
La conformité RGPD dans une application mobile implique plusieurs couches : la gestion du consentement en surface, le chiffrement dans la couche de transport et de stockage, et les contrôles d’accès dans l’architecture backend.

Le RGPD ne requiert pas le consentement pour toutes les collectes de données — c’est un malentendu fréquent. Il requiert une base juridique valide pour chaque traitement. Les six bases juridiques sont :

  • Consentement (article 6.1.a) : libre, spécifique, éclairé et univoque. Requis pour le marketing, la publicité comportementale, les cookies non essentiels.
  • Exécution d’un contrat (article 6.1.b) : vous traitez les données pour fournir le service demandé. L’adresse de livraison pour une commande en ligne est traitée sur cette base, pas par consentement.
  • Obligation légale (article 6.1.c) : KYC/AML pour les fintech, conservation des données fiscales, etc.
  • Intérêts vitaux (article 6.1.d) : rarement applicable aux applications grand public.
  • Mission de service public (article 6.1.e) : applicable aux administrations, pas aux applications commerciales.
  • Intérêts légitimes (article 6.1.f) : applicable à la sécurité, la prévention de la fraude, l’analyse de performance d’un service existant — sous réserve d’un test de mise en balance.

Pour les applications mobiles, le flux typique est : exécution du contrat pour les données fonctionnelles (compte, préférences, historique d’achats), consentement pour l’analytics comportemental et la publicité, intérêts légitimes pour la sécurité et la prévention de la fraude. Documentez votre mapping base juridique / finalité dans votre registre des activités de traitement (article 30 du RGPD).

Audit des SDK tiers

C’est le risque de conformité le plus sous-estimé dans les applications mobiles. Chaque SDK que vous intégrez peut collecter des données pour son propre compte — et en tant que responsable du traitement, vous êtes responsable de ce que vos sous-traitants font avec les données de vos utilisateurs.

Avant d’intégrer un SDK tiers :

  1. Lisez sa politique de confidentialité et identifiez quelles données il collecte, où il les transfère et combien de temps il les conserve.
  2. Vérifiez s’il transfère des données hors de l’UE et si ce transfert est encadré (clauses contractuelles types, décision d’adéquation).
  3. Signez un accord de traitement des données (DPA) avec le fournisseur de SDK — c’est une obligation légale, pas une formalité.
  4. Décidez s’il doit être chargé uniquement après consentement explicite ou s’il peut l’être dès le lancement de l’application.

Les catégories de SDK à risque élevé : les SDK analytics comportementaux (Amplitude, Mixpanel, Firebase Analytics avec données personnelles), les SDK publicitaires (Meta Audience Network, Google AdMob, TikTok For Business), les SDK de social login, et les SDK de crash reporting qui transmettent des données d’appareil.

Une pratique fréquente conforme : charger les SDK analytics et publicitaires uniquement après l’obtention du consentement de l’utilisateur, via un gestionnaire de consentement (CMP) qui retarde l’initialisation des SDK jusqu’à la décision de l’utilisateur.

Chiffrement et sécurité des données

Voici les pratiques techniques minimales pour une application mobile conforme RGPD :

Transport

  • TLS 1.2 minimum pour toutes les communications réseau (TLS 1.3 recommandé)
  • Certificate pinning pour les applications manipulant des données financières ou médicales
  • Désactivation de la négociation automatique vers des protocoles obsolètes (SSL 3.0, TLS 1.0/1.1)

Stockage local

  • Utiliser le Keychain (iOS) ou Android Keystore pour les tokens, clés et données sensibles
  • Éviter de stocker des données sensibles en texte clair dans les SharedPreferences (Android) ou UserDefaults (iOS)
  • Chiffrer les bases de données locales SQLite avec SQLCipher si elles contiennent des données personnelles
  • Ne pas logger de données personnelles dans les logs d’application, y compris en mode debug

Backend

  • Chiffrement des données au repos avec AES-256 pour les champs sensibles
  • Hachage des mots de passe avec Argon2id ou bcrypt (coût ≥12)
  • Chiffrement des sauvegardes de base de données
  • Pseudonymisation des données analytics avant leur traitement (remplacer les e-mails et téléphones par des identifiants internes)
Flux de chiffrement des données mobiles montrant les couches Keychain et TLS
Le chiffrement en transit (TLS + certificate pinning) et au repos (Keychain / Keystore de la plateforme) constituent les deux couches non négociables. Aucun secret dans le bundle — traitez le binaire compilé comme public.

App Tracking Transparency (ATT) d’Apple

Depuis iOS 14.5, Apple oblige toutes les applications qui suivent les utilisateurs à des fins publicitaires à demander explicitement l’autorisation via le framework AppTrackingTransparency. Le suivi est défini de manière large : partager un identifiant d’appareil, une e-mail hashée ou toute autre donnée permettant de corréler un utilisateur entre différentes applications ou sites tiers.

Si votre application intègre un SDK publicitaire (Meta, Google, TikTok), un pixel de conversion ou toute forme de retargeting, ATT est obligatoire. Votre application sera rejetée en App Store Review si vous collectez des données de tracking sans demander l’autorisation ATT.

Bonnes pratiques pour maximiser le taux d’acceptation :

  • Ne déclenchez pas ATT au premier lancement. Les utilisateurs qui ne comprennent pas encore la valeur de votre application refusent par défaut. Déclenchez la demande après l’onboarding, lorsque l’utilisateur a expérimenté votre application et comprend la valeur qu’il reçoit en échange.
  • Utilisez un écran pré-ATT. Affichez un écran personnalisé expliquant en termes simples pourquoi vous demandez l’autorisation et ce que l’utilisateur gagne (publicités plus pertinentes, support gratuit de l’application). Cela augmente significativement les taux d’acceptation.
  • Gérez l’état de refus gracieusement. Si l’utilisateur refuse, votre application doit fonctionner normalement sans le suivi. Ne dégradez pas l’expérience en guise de représailles.

CCPA : ce qui change pour les applications destinées aux US

Si votre application cible également les utilisateurs en Californie (et par extension la plupart des marchés US), le California Consumer Privacy Act (CCPA) s’applique si vous remplissez l’un de ces critères :

  • Chiffre d’affaires annuel brut supérieur à $25 millions en Californie
  • Achat, vente ou partage des données personnelles de 100 000 consommateurs ou foyers californiens par an
  • Tirez 50 % ou plus de vos revenus annuels de la vente de données personnelles de Californiens

Les exigences CCPA pertinentes pour les applications mobiles : bouton « Do Not Sell or Share My Personal Information » accessible dans l’application (généralement dans les paramètres ou la politique de confidentialité), mécanisme de désinscription du partage de données avec des tiers, droit à la suppression des données (similaire au droit à l’effacement du RGPD), et obligation de divulguer les catégories de données personnelles collectées et leurs finalités.

La bonne nouvelle : si votre application est déjà conforme RGPD, l’effort CCPA supplémentaire est marginal — les deux réglementations partagent les mêmes principes fondamentaux de transparence et de contrôle.

La règle des 72 heures et la réponse aux incidents

En cas de violation de données personnelles, l’article 33 du RGPD vous impose de notifier l’autorité de contrôle compétente dans les 72 heures suivant la date à laquelle vous avez pris connaissance de la violation. En France, c’est la CNIL ; en Belgique, l’APD ; au Luxembourg, la CNPD.

« Pris connaissance » signifie le moment où vous avez raisonnablement acquis la certitude qu’un incident de sécurité s’est produit, même si vous n’en connaissez pas encore toute l’étendue. L’incertitude n’est pas une raison de ne pas notifier — vous pouvez notifier avec les informations disponibles et compléter ultérieurement.

Ce que votre plan de réponse aux incidents mobile doit prévoir :

  1. Détection : Surveillance des anomalies en production (pics d’erreur d’authentification, volumes inhabituels de requêtes API, alertes d’accès non autorisé). Outils typiques : Sentry, Datadog, AWS GuardDuty.
  2. Qualification : Processus interne pour déterminer rapidement si un incident constitue une violation au sens du RGPD (accès non autorisé à des données personnelles, exfiltration, cryptovirus).
  3. Notification CNIL/APD/CNPD : Formulaire de notification pré-rempli avec les informations requises par l’article 33. Ne commencez pas à le rédiger après l’incident.
  4. Notification des utilisateurs : Si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés, notifiez les utilisateurs affectés sans délai excessif (article 34 du RGPD).
  5. Documentation : Tenez un registre de toutes les violations, même celles que vous n’avez pas notifiées (parce que le risque était faible). Ce registre peut être demandé lors d’un audit.

Liste de contrôle de conformité

Utilisez cette liste comme point de départ — pas comme liste exhaustive. Chaque application a ses propres spécificités qui peuvent nécessiter des mesures supplémentaires.

Architecture et développement

  • ☐ Cartographie des données réalisée (quelles données, quelle finalité, quelle durée de conservation)
  • ☐ Minimisation des données appliquée dans le schéma de données
  • ☐ TLS 1.2+ sur toutes les communications réseau
  • ☐ Données sensibles stockées dans Keychain/Android Keystore
  • ☐ Données sensibles au repos chiffrées avec AES-256
  • ☐ Mots de passe hashés avec Argon2id ou bcrypt
  • ☐ Logs applicatifs expurgés de données personnelles

Consentement et transparence

  • ☐ Politique de confidentialité accessible dans l’application et dans les stores
  • ☐ Bases juridiques documentées pour chaque finalité de traitement
  • ☐ Gestionnaire de consentement implémenté pour analytics/publicité
  • ☐ SDK tiers chargés uniquement après consentement (si requis)
  • ☐ Privacy Nutrition Labels Apple précis et à jour
  • ☐ Data Safety section Google Play précise et à jour
  • ☐ Demande ATT implémentée (iOS) avec écran pré-ATT

Droits des personnes concernées

  • ☐ Mécanisme d’accès aux données implémenté (export)
  • ☐ Mécanisme de suppression des données implémenté
  • ☐ Mécanisme de rectification implémenté
  • ☐ Mécanisme de désinscription du marketing implémenté

Tiers et transferts

  • ☐ Registre des sous-traitants (SDK tiers) avec DPA pour chacun
  • ☐ Transferts hors UE encadrés (CCT ou décision d’adéquation)
  • ☐ Audit des SDK intégrés réalisé

Incident response

  • ☐ Plan de réponse aux incidents documenté
  • ☐ Procédure de notification CNIL/APD/CNPD en 72h documentée
  • ☐ Registre des violations de données tenu à jour
  • ☐ Surveillance des anomalies en production active

FAQ

Mon application mobile doit-elle être conforme au RGPD ?

Oui, si votre application collecte des données personnelles d’utilisateurs résidant dans l’UE — quelle que soit la localisation de votre entreprise. La nationalité ou l’adresse de votre entreprise ne détermine pas l’applicabilité du RGPD ; c’est la résidence de vos utilisateurs qui compte. Si un utilisateur en France, en Belgique ou en Allemagne télécharge votre application et que vous collectez son adresse e-mail, son identifiant d’appareil, sa localisation ou toute autre donnée personnelle, le RGPD s’applique. Les amendes peuvent atteindre 4 % du chiffre d’affaires mondial annuel ou €20 millions, le montant le plus élevé étant retenu.

Qu’est-ce que le privacy by design dans le contexte d’une application mobile ?

Le privacy by design signifie que la protection de la vie privée est intégrée dès la conception de l’architecture, pas ajoutée après coup. Pour les applications mobiles, cela se traduit par : collecter uniquement les données dont vous avez réellement besoin (minimisation des données) ; chiffrer les données en transit et au repos dès le premier jour ; concevoir des flux de consentement qui demandent les permissions au moment où elles sont nécessaires dans le contexte d’utilisation ; implémenter des mécanismes de suppression des données dès le démarrage du projet plutôt qu’à la demande de l’autorité de contrôle ; et réaliser des DPIA pour les fonctionnalités à haut risque avant qu’elles ne soient construites.

Comment la règle des 72 heures du RGPD s’applique-t-elle aux applications mobiles ?

En cas de violation de données personnelles, vous avez 72 heures pour notifier votre autorité de contrôle compétente (la CNIL en France, l’APD en Belgique, la CNPD au Luxembourg). Cette obligation s’applique dès que vous avez connaissance de la violation — pas lorsque vous êtes sûr qu’elle a eu lieu. Pour les applications mobiles, cela signifie que vous devez disposer d’un plan de réponse aux incidents documenté, d’une surveillance des anomalies en production (alertes Sentry, Datadog ou équivalent) et d’une chaîne de notification interne claire qui peut se déclencher en dehors des heures de bureau. La notification tardive expose à des amendes indépendantes de la violation elle-même.

L’ATT (App Tracking Transparency) d’Apple est-elle requise pour toutes les applications iOS ?

Oui, depuis iOS 14.5, toute application qui suit les utilisateurs à des fins publicitaires ou partage des données avec des tiers à des fins de suivi doit demander l’autorisation via le framework ATT. Si votre application utilise des SDK publicitaires (Facebook, Google Ads, TikTok), des pixels de conversion ou tout mécanisme qui corrèle des identifiants d’utilisateurs entre applications ou sites, ATT est obligatoire. Le non-respect entraîne un refus en App Store Review. La demande ATT doit être déclenchée dans un contexte logique — après l’onboarding, pas au premier lancement — pour maximiser l’acceptation.

Dernière mise à jour le 19 juin 2026. Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un avocat spécialisé en protection des données pour votre situation spécifique.