Lettre ouverte commune aux boutiques virtuelles d’applications
Le commissaire à la protection de la vie privée du Canada fait partie des 23 autorités de protection de la vie privée de partout dans le monde qui ont signé une lettre ouverte aux exploitants de sept boutiques virtuelles d’applications les exhortant à rendre obligatoire, pour toute application qui recueille des renseignements personnels, l’ajout d’un lien vers la politique de confidentialité de l’application. La lettre datée du 9 décembre 2014 a été envoyée à Apple, Google, Samsung, Microsoft, Nokia, BlackBerry et Amazon.com, mais elle est destinée à toutes les entreprises qui exploitent une boutique virtuelle d’applications.
Le 9 décembre 2014
Mesdames/Messieurs,
En notre qualité d’autorités chargées de la protection de la vie privée, nous tenons à attirer votre attention sur un enjeu important pour les individus lié à la vie privée qui concerne les applications mobiles. La présente est adressée à quelques acteurs clés qui exploitent des boutiques virtuelles d’applications, mais nos conseils et nos recommandations sont destinés à tous les exploitants de ce type de boutiques.
Le deuxième ratissage annuel pour la protection de la vie privée réalisé sous l’égide du Global Privacy Enforcement Network (GPEN), auquel participaient 26 autorités dans le domaine, a eu lieu cette année. Il a permis d’en savoir plus sur les types d’autorisations demandées par plus de 1 200 applications parmi les plus répandues dans le monde et sur la mesure dans laquelle les pratiques de protection des renseignements personnels de chaque application sont communiquées aux clients.
Dans de nombreux cas, les applications semblaient recueillir des renseignements personnels, mais elles n’affichaient aucune politique de confidentialité (ni aucune autre information en amont sur la protection de la vie privée), empêchant ainsi les utilisateurs de prendre une décision éclairée concernant la collecte, l’utilisation ou la communication de leurs renseignements personnels. Il s’agit là d’une des observations particulièrement préoccupantes du ratissage. D’après nos constats, la plupart des boutiques virtuelles permettent aux concepteurs d’applications d’afficher un lien menant à leur politique de confidentialité, mais cette pratique ne semble pas obligatoire.
Or, s’il incombe manifestement aux concepteurs d’applications de communiquer leurs pratiques de protection des renseignements personnels, les développeurs de systèmes d’exploitation pour appareils mobiles et les exploitants de boutiques virtuelles d’applications jouent un rôle essentiel dans les interactions des utilisateurs avec les applications proposées par les boutiques virtuelles. Ces boutiques constituent un important carrefour de consommation où les utilisateurs peuvent chercher de nouvelles applications, lire les évaluations et avoir accès à de l’information concernant une application avant de la télécharger – et cette information est mise à leur disposition pour les aider à prendre des décisions éclairées relativement aux produits proposés.
Comme dans tout autre lieu de commerce, on s’attend à ce que les problèmes de protection des consommateurs soient réglés de manière efficace et dans le respect de la vie privée.
Les boutiques virtuelles d’applications permettent déjà de communiquer beaucoup d’information au sujet des applications, notamment leurs caractéristiques, les groupes d’âges qu’elles visent, l’espace mémoire qu’elles occupent et de quelle version il s’agit. Comme nous l’avons mentionné, des liens menant à la politique de confidentialité sont parfois affichés dans la description des applications dans les boutiques virtuelles, mais le ratissage a montré que cette pratique n’est pas appliquée systématiquement. Compte tenu du large éventail de renseignements stockés sur les appareils mobiles et de leur degré de sensibilité éventuel, nous sommes convaincus que la communication des pratiques de protection des renseignements personnels (par exemple des liens menant à la politique de confidentialité) devrait être obligatoire (et non facultative) dans une boutique virtuelle dans le cas des applications qui recueillent des renseignements personnels à partir d’un appareil mobile. Ces liens offrent aux utilisateurs un moyen simple et pratique d’obtenir l’information concernant la protection de la vie privée dont ils ont besoin pour être renseignés comme il se doit sur la collecte et l’utilisation de leurs renseignements personnels avant de décider de télécharger une application.
Toutes les autorités chargées de la protection de la vie privée signataires de la présente sont convaincues que les exploitants de boutiques virtuelles d’applications devraient agir en tant qu’entreprises socialement responsables et s’engager au minimum à exiger que chaque application susceptible de recueillir des renseignements personnels ou d’y avoir accès offre aux utilisateurs en temps opportun la possibilité de consulter leur politique de confidentialité. C’est pourquoi nous nous attendons à ce que tous ces exploitants suivent ce conseil, si ce n’est déjà fait, et mettent en place les protections nécessaires pour assurer la transparence des pratiques associées aux applications proposées dans leur boutique.
Veuillez agréer, Madame/Monsieur, nos salutations distinguées,
La commissaire à l'information et à la protection de la vie privée de l'Alberta,
Original signé par
Jill Clayton
Le commissaire à la protection de la vie privée de l’Australie,
Original signé par
Timothy Pilgrim
Le commissaire d'État pour la protection des données de Bade-Wurtemberg,
Original signé par
Jörg Klingbeil
Le président de l’autorité de protection des données dans le secteur privé de Bavière,
Original signé par
Thomas Kranig
Le président de la Commission de la protection de la vie privée, Belgique,
Original signé par
Willem Debeuckelaere
Le commissaire à la protection de la vie privée du Canada,
Original signé par
Daniel Therrien
Le surintendant délégué à la protection des données personnelles, Colombie,
Original signé par
José Alejandro Bermúdez Durana
La commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique,
Original signé par
Elizabeth Denham
Le vice-président du bureau pour Internet et la sécurité, Corée du Sud,
Original signé par
Dr Byung Gyu No
Directeur général, Bureau d'inspection de la protection des données de l'Estonie,
Approuvé électroniquement
Dr Viljar Peep
L’ombudsman chargé de la protection des données, Finlande,
Original signé par
Reijo Aarnio
Présidente de la CNIL,
Original signé par
Isabelle Falque-Pierrotin
Le commissaire à la protection des données de Gibraltar,
Original signé par
Paul J. Canessa
Le commissaire à la protection des données et de la vie privée de Hong Kong,
Original signé par
Allan Chiang
La commissaire à la protection des données de l’Irlande,
Original signé par
Helen Dixon
Le dirigeant de l’autorité pour le droit, l'information et les technologies, Israël,
Original signé par
Alon Bachar
Le Garante per la protezione dei dati personali (Italie),
Original signé par
Antonello Soro
La coordonnatrice du bureau de la protection des données personnelles de Macao – Chine,
Original signé par
Chan Hoi Fan
Le commissaire de la protection de la vie privée de la Nouvelle-Zélande,
Original signé par
John Edwards
Le commissaire à la protection des données de Norvège,
Original signé par
Bjørn Erik Thon
Le président de l’autorité de protection des données des Pays-Bas,
Original signé par
Jacob Kohnstamm
Le commissaire à l’information du Royaume-Uni,
Original signé par
Christopher Graham
Le commissaire à la protection de la vie privée et des données personnelles, commissariat à la protection de la vie privée de l’État de Victoria, Australie
Approuvé électroniquement
David Watts
- Date de modification :