RGPD, CCPA et loi sur les cookies : ce qu'ils signifient pour vous et votre application mobile

Pour les développeurs d'applications utilisant Adalo, un générateur d'applications sans code pour les applications web pilotées par base de données et les applications iOS et Android natives, avec une seule version sur les trois plateformes publiée sur l'App Store d'Apple et Google Play, la compréhension de ces exigences légales est essentielle avant de lancer toute application qui collecte les données des utilisateurs.

Ce guide couvre tout ce que vous devez savoir sur la conformité à la vie privée pour les applications mobiles, des réglementations américaines et européennes aux étapes de mise en œuvre pratiques.

Exigences légales générales pour les applications mobiles

Les lois sur la protection de la vie privée dans le monde entier partagent des exigences communes pour les applications qui traitent les données personnelles. Vous devez :

• Fournir des divulgations sur vos activités de traitement des données par le biais d'une politique de confidentialité complète
• Assurer que des mesures de sécurité efficaces protègent les données personnelles
• Mettre en œuvre des méthodes pour recevoir le consentement de l'utilisateur ou faciliter son retrait

Le consentement fait référence à l'accord volontaire informé d'un individu de participer à un événement ou un processus particulier. Il peut être obtenu en utilisant toute méthode qui exige de l'utilisateur une action affirmative et vérifiable : cases à cocher, champs de texte, boutons bascule ou envoi d'un e-mail de confirmation.

En général, les utilisateurs doivent être informés de :

• Les coordonnées du propriétaire de l'application et ses informations de contact
• La date d'entrée en vigueur de votre politique de confidentialité
• Votre processus de notification en cas de modifications de la politique
• Les données collectées et pourquoi
• L'accès des tiers à leurs données (qui sont les tiers et quelles données ils collectent)
• Leurs droits concernant leurs données, y compris l'accès, la correction et la suppression

Ces exigences s'appliquent quelle que soit la manière dont vous créez votre application. Que vous utilisiez les outils de construction assistés par IA d'Adalo ou les méthodes de développement traditionnelles, les obligations légales restent les mêmes.

États-Unis, Union européenne, International : comment déterminer votre loi de référence

Généralement, les lois d'une région particulière s'appliquent si :

• Vous y basez vos opérations
• Vous utilisez des services de traitement ou des serveurs basés dans la région
• Votre service cible des utilisateurs de cette région

Cela signifie effectivement que les réglementations régionales peuvent s'appliquer à vous et/ou à votre entreprise, que vous soyez situé dans la région ou non. Pour cette raison, il est toujours judicieux de traiter vos activités de traitement des données en tenant compte des réglementations les plus strictes applicables.

Voici une simple règle empirique :

• Loi de référence : Conformité aux lois du pays dans lequel vous basez vos opérations, ainsi qu'à celles du pays que votre application cible
• Langue de vos documents : Vos documents juridiques doivent être rédigés dans la même langue que votre application afin que vos utilisateurs puissent les comprendre

Avec plus de 3 millions d'applications créées sur Adalo et des utilisateurs couvrant les marchés mondiaux, la plupart des créateurs d'applications doivent tenir compte des réglementations américaines et européennes. Examinons les exigences principales pour chacune.

Loi américaine : CalOPPA et CCPA

Aux États-Unis, il n'existe actuellement pas de corpus unique et complet de réglementations nationales en matière de données. Diverses lois au niveau des États, des directives sectorielles et des lois fédérales spécifiques créent un patchwork d'exigences. Étant donné que l'activité des applications en ligne ne se limite que rarement à un seul État, il est toujours préférable de se conformer aux réglementations les plus strictes applicables, comme celles mises en œuvre par la Californie.

Loi californienne sur la protection de la vie privée en ligne (CalOPPA)

CalOPPA a été la première loi d'un État à rendre les politiques de confidentialité obligatoires. Elle s'applique à toute personne ou entreprise dont le site web ou l'application traite les données personnelles des résidents de Californie. En plus des divulgations généralement requises ci-dessus, CalOPPA exige que vous :

• Publiez votre politique de confidentialité sur la page d'accueil de votre site web/application
• Incluez une description du processus par lequel les utilisateurs peuvent demander des modifications aux données personnelles (si un tel processus existe)
• Incluez une déclaration sur la façon dont les demandes « Ne pas suivre » sont traitées
• Notifiez les utilisateurs concernés en cas de violations de sécurité qui affectent leurs données

Concernant le consentement, la loi américaine exige généralement que vous donniez aux utilisateurs une option claire de retrait du consentement (opt-out). Cependant, des règles différentes s'appliquent dans les cas impliquant des « données sensibles » : informations de santé, rapports de crédit, données d'étudiants ou informations personnelles des enfants de moins de 13 ans. Dans ces cas, il doit y avoir une action d'opt-in vérifiable, comme cocher une case ou une autre action affirmative.

Loi californienne sur la protection de la vie privée des consommateurs (CCPA)

Le CCPA complète mais ne remplace pas CalOPPA, les deux s'appliquent toujours. Entièrement applicable depuis le 1er juillet 2020, le CCPA renforce les droits à la vie privée des consommateurs californiens.

En vertu du CCPA, les entreprises qui ciblent les consommateurs californiens doivent inclure des divulgations spécifiques dans leurs politiques de confidentialité :

• Descriptions des droits des consommateurs
• Partenaires de traitement et leurs objectifs
• Sources de données et catégories collectées
• Informations sur les ventes ou le partage de données

Les utilisateurs californiens doivent être informés de la possibilité que leurs données soient vendues. Vous pouvez considérer « vendues » ici comme « partagées avec des tiers à titre onéreux ou gratuit ». La divulgation doit être visible à partir de la page d'accueil et doit inclure un lien de non-participation (DNSMPI).

Vous pouvez en savoir plus sur la CCPA ici.

Droit de l'UE : RGPD et Directive ePrivacy (Loi sur les cookies)

Le RGPD spécifie comment les données personnelles doivent être traitées légalement et peut s'appliquer à vous, que votre entreprise soit basée dans l'UE ou non. Si votre application peut être utilisée par des utilisateurs de l'UE (ou si vous êtes basé dans l'UE), le RGPD s'applique à vous.

Exigences de consentement du RGPD

Comparé aux réglementations américaines, le RGPD est plus strict en matière de consentement. Le consentement en vertu du RGPD doit être « explicite et librement donné ». Cela signifie que le mécanisme d'acquisition du consentement doit être sans ambiguïté et impliquer une action de « consentement explicite » claire. Le règlement interdit spécifiquement les cases pré-cochées et les mécanismes de « non-participation » similaires.

Vous pouvez en savoir plus sur la RGPD ici.

Directive ePrivacy (Loi sur les cookies)

Les utilisateurs de l'UE doivent être informés de l'utilisation des cookies et avoir la possibilité de consentir ou de refuser. La Directive ePrivacy exige le consentement éclairé des utilisateurs avant de stocker des cookies sur l'appareil d'un utilisateur et de les suivre. Si votre application (ou tout service tiers utilisé par votre application) utilise des cookies, vous devez obtenir un consentement valide avant l'installation.

Cela s'applique aux applications créées sur n'importe quelle plateforme. Lorsque vous publiez votre application Adalo sur l'App Store et Google Play, ces exigences de consentement aux cookies suivent votre application dans les deux magasins.

Exigences en matière de politique de confidentialité

Selon les lois de la plupart des pays, il est obligatoire de divulguer les détails liés à la confidentialité et à vos activités de traitement des données. Les applications mobiles ne font pas exception — elles sont tenues de fournir une politique de confidentialité et, si elles utilisent des cookies et des technologies de suivi similaires, une politique relative aux cookies.

Pour être conforme, votre politique doit être :

• À jour avec les pratiques actuelles en matière de données
• Compréhensible en langage clair
• Sans ambiguïté sur les données que vous collectez et pourquoi
• Facilement accessible dans toute l'application

Vous pouvez être davantage responsable de faire des divulgations supplémentaires aux utilisateurs, aux tiers et aux autorités de contrôle, selon votre loi de référence.

Sans politique de confidentialité, vous risquez le rejet de l'App Store

Les deux Apple App Store et Google Play exigent que les applications aient une politique de confidentialité valide et respectent la loi applicable. Le non-respect peut entraîner des amendes massives, le rejet de l'app store, vous exposer à des poursuites judiciaires et affecter négativement la crédibilité de votre application.

Ceci est particulièrement important pour les créateurs utilisant des plates-formes comme Adalo qui publient directement sur les deux app stores à partir d'une base de code unique. Votre politique de confidentialité doit satisfaire simultanément aux exigences d'Apple et de Google.

Exigences relatives à la confidentialité des applications iOS

App Store Connect exige une politique de confidentialité pour toutes les nouvelles applications et mises à jour d'applications. L'article 5.1 des directives d'examen de l'App Store d'Apple fournit un aperçu des directives de confidentialité d'Apple et des motifs de rejet si ces conditions ne sont pas respectées.

L'article 5.1.1 sur la collecte et le stockage des données spécifie :

(i) Politiques de confidentialité : Toutes les applications doivent inclure un lien vers leur politique de confidentialité dans le champ de métadonnées d'App Store Connect et dans l'application de manière facilement accessible. La politique de confidentialité doit clairement et explicitement :

• Identifier quelles données, le cas échéant, l'application/le service collecte, comment il collecte ces données et tous les usages de ces données
• Confirmer que tout tiers avec lequel une application partage des données utilisateur — tels que les outils d'analyse, les réseaux publicitaires et les SDK tiers, ainsi que toute entité mère, filiale ou autre entité connexe — fournira la même protection ou une protection égale des données utilisateur que celle énoncée dans la politique de confidentialité de l'application
• Expliquer les politiques de conservation/suppression des données et décrire comment un utilisateur peut révoquer son consentement et/ou demander la suppression de ses données

Le lien ou le texte de la politique de confidentialité de votre application ne sera modifiable que lorsque vous soumettrez une nouvelle version de votre application. Avec les mises à jour d'applications illimitées d'Adalo sur les plans payants, vous pouvez réviser et republier chaque fois que vos pratiques de confidentialité changent.

En savoir plus sur la Politique de confidentialité pour les applications iOS.

Exigences relatives à la confidentialité des applications Android

Google Play exige explicitement qu'un lien vers une politique de confidentialité soit visible sur la page de liste de votre app store et dans votre application dans les cas où :

• Votre application traite des données utilisateur personnelles ou sensibles, comme défini dans les politiques relatives aux données utilisateur (y compris les informations personnelles identifiables, les informations financières et de paiement, les informations d'authentification, les données de carnet d'adresses ou de contacts, les données des capteurs de microphone et de caméra, et les données sensibles de l'appareil)
• Votre application est dans le programme « Conçu pour les familles » (indépendamment de l'accès aux autorisations ou données sensibles)

Cependant, il est essentiel de noter que, au-delà des exigences de la plateforme, selon la grande majorité des législations — en particulier la CalOPPA de Californie, la CCPA et le RGPD — les politiques de confidentialité sont légalement requises indépendamment des mandats spécifiques de Google.

Si votre application Android traite des données personnelles pour des raisons non liées à sa fonctionnalité, vous êtes tenu de faire des divulgations supplémentaires et facilement visibles concernant cet usage et de recueillir le consentement de l'utilisateur si nécessaire.

En savoir plus sur la Politique de confidentialité pour les applications Android.

Cookies, traceurs et technologies similaires

De nombreux développeurs d'applications utilisent des cookies dans l'application ou via le site web de leur application pour tout, des statistiques d'utilisation aux publicités de remarketing. Si vous utilisez des cookies non-exempts (cookies statistiques, publicitaires ou de profilage) et que vous avez des utilisateurs basés dans l'UE, vous êtes tenu par la loi — et par les tiers respectueux de la loi tels qu'Apple et Google — de vous conformer aux exigences légales en vertu de la directive ePrivacy et du RGPD.

La loi sur les cookies exige le consentement éclairé des utilisateurs avant de stocker des cookies sur l'appareil d'un utilisateur et/ou de les suivre. Si vous avez des utilisateurs basés dans l'UE et que votre application (ou tout service tiers utilisé par votre application) utilise des cookies, traceurs et technologies de suivi similaires :

• Vous devez informer les utilisateurs de vos activités de collecte de données et leur donner la possibilité de choisir si c'est autorisé
• Vous devez obtenir le consentement éclairé avant l'installation de ces cookies

Exigences liées aux cookies en pratique

Vous devrez :

• Fournir une politique relative aux cookies
• Afficher une banneau de cookies lors du premier accès de l'utilisateur
• Bloquer les cookies non-exempts avant d'obtenir le consentement de l'utilisateur (et les libérer seulement après que le consentement éclairé ait été fourni)

Cela signifie généralement d'avoir une politique de cookies valide et une solution de gestion du consentement aux cookies en place.

Exigences de la politique relative aux cookies

La politique relative aux cookies doit :

• Indiquer le type de cookies installés (statistiques, publicitaires, etc.)
• Décrire en détail le but de l'installation des cookies
• Indiquer tous les tiers qui installent ou pourraient installer des cookies, avec des liens vers leurs politiques respectives et tout formulaire de désabonnement
• Être disponible dans toutes les langues dans lesquelles le service est fourni

Exigences de la banneau de cookies

La banneau de cookies devrait :

• Informer les utilisateurs des cookies que votre application utilise
• Demander le consentement de l'utilisateur avant d'exécuter ces cookies (et indiquer clairement quelle action signifiera le consentement)
• Être suffisamment visible pour être remarquée
• Faire un lien vers une politique de cookies qui explique le but de diverses catégories de cookies et les tiers impliqués

Blocage des cookies non-exempts avant le consentement

Parce que l'opt-in éclairé ou le consentement préalable est requis en vertu du RGPD et de la directive ePrivacy, vous avez besoin d'un mécanisme qui bloque les cookies non-exempts jusqu'à ce que l'utilisateur ait donné son consentement par une action affirmative telle que cliquer sur un bouton « Accepter ». Avant le consentement, aucun cookie — à l'exception des cookies exempts — ne peut être installé.

De plus, si vous monétiser votre application ou son contenu en diffusant des publicités tierces, vous devriez envisager de respecter les normes de l'industrie en utilisant le Cadre de transparence et de consentement de l'IAB— qui permet aux utilisateurs de définir leurs préférences publicitaires et communique le consentement des consommateurs à travers les réseaux publicitaires participants. Le non-respect peut entraîner un accès limité au réseau publicitaire et, en fin de compte, une diminution des revenus publicitaires.

Exigences spéciales pour les applications utilisées par les enfants

Si votre application collecte, utilise ou divulgue intentionnellement des informations personnelles d'enfants de moins de 13 ans, il existe des directives spéciales que vous êtes légalement tenu de suivre selon la grande majorité des législations, y compris la loi américaine et l'UE.

États-Unis : exigences de la COPPA

La Children's Online Privacy Protection Act (COPPA) est une loi fédérale américaine protégeant les données personnelles et les droits des enfants de moins de 13 ans. En vertu de la COPPA, les exploitants de sites web ou de services en ligne qui sont soit destinés aux enfants de moins de 13 ans (soit qui ont connaissance qu'ils collectent des informations personnelles d'enfants de moins de 13 ans) doivent :

• Donner un avis aux parents
• Obtenir le consentement vérifiable avant de collecter, d'utiliser ou de divulguer des informations personnelles
• Sécuriser les informations qu'ils collectent auprès des enfants

« Vérifiable » signifie utiliser une méthode d'obtention du consentement qui n'est pas facilement contrefaite par un enfant et qui est manifestement susceptible d'être donnée par un adulte— par exemple, des questions de contrôle ou la vérification par carte de crédit.

Une exigence centrale de cette loi est d'avoir une politique de confidentialité conforme à la COPPA en place.

UE : exigences du RGPD pour les enfants

En vertu du RGPD de l'UE, le consentement est l'une des bases légales du traitement des données des enfants. Si vous utilisez cette base pour traiter les données d'enfants de moins de 13 ans, vous devez obtenir le consentement vérifiable d'un parent ou d'un tuteur, sauf si le service que vous proposez est un service de prévention ou de conseil.

Vous devez faire des efforts raisonnables (en utilisant la technologie disponible) pour vérifier que la personne qui donne son consentement exerce effectivement la responsabilité parentale de l'enfant. De plus, si vous ciblez des enfants de plus de 13 ans, vous devez rédiger des avis de confidentialité clairs et adaptés à l'âge afin qu'ils comprennent à quoi ils consentent.

En savoir plus sur exigences légales pour les applications utilisées par les enfants.

Comment rendre votre application conforme en quelques minutes

Créer une politique de confidentialité et gérer le consentement relatif aux cookies pour votre application peut être un véritable casse-tête. Solutions d'iubenda peuvent vous aider : leur générateur de politique de confidentialité et leur solution de gestion des cookies rendent la conformité avec plusieurs lois et exigences des plateformes d'applications facile.

Leurs solutions offrent :

• Des tarifs abordables pour les développeurs indépendants et les petites équipes
• Rédigées par une équipe juridique internationale
• Entièrement personnalisables selon vos pratiques spécifiques en matière de données
• Disponibles en 8 langues
• Toujours à jour avec les principales législations mondiales comme COPPA, CCPA, RGPD, et autres

Visitez iubenda.com/en/mobile pour générer votre politique de confidentialité et gérer le consentement relatif aux cookies afin de respecter les exigences du RGPD, CCPA, ePrivacy, et les principales exigences des magasins d'applications.

Créer des applications conformes à la vie privée avec Adalo

Ada, le créateur IA d'Adalo, vous permet de décrire ce que vous voulez et génère votre application. Magic Start crée des fondations d'applications complètes à partir d'une description, tandis que Magic Add ajoute des fonctionnalités en langage naturel.

Le générateur d'applications alimenté par l'IA d'Adalo facilite l'intégration de la conformité en matière de confidentialité dans votre application dès le départ. Avec Magic Start, vous pouvez générer des fondations d'applications complètes à partir de descriptions, y compris des flux d'authentification utilisateur qui prennent en charge la gestion du consentement. Magic Add vous permet de décrire les fonctionnalités dont vous avez besoin, comme « ajouter un écran d'acceptation de la politique de confidentialité », et la plateforme génère les composants nécessaires.

L'infrastructure modulaire de la plateforme s'adapte pour servir des applications avec des millions d'utilisateurs actifs mensuels, sans limite supérieure sur les enregistrements de base de données pour les plans payants. Cela signifie que vos enregistrements de consentement à la confidentialité, les préférences des utilisateurs et les journaux de conformité peuvent croître sans atteindre les limites de stockage, une contrainte courante sur d'autres plateformes.

Contrairement aux plateformes qui facturent en fonction de l'utilisation ou des enregistrements de base de données, les plans payants d'Adalo incluent une utilisation illimitée sans frais inattendus. Vous ne ferez pas face à des frais imprévus à mesure que votre base d'utilisateurs se développe et génère plus d'enregistrements de consentement.

Voulez-vous faire passer votre application au niveau supérieur mais ne savez pas par où commencer ? Obtenez de l'aide d'une équipe de classe mondiale de Les experts Adalo qui peuvent vous aider à construire, déboguer et assurer que votre application respecte les exigences de conformité. Vous pouvez même obtenir un coaching individuel d'un expert pour vous aider à résoudre vos problèmes —en savoir plus.

Points clés à retenir

• Les politiques de confidentialité sont obligatoires pour l'approbation du magasin d'applications et la conformité légale dans la plupart des juridictions
• Suivez la loi la plus stricte applicable—si vous ciblez à la fois les utilisateurs américains et européens, les exigences d'opt-in du RGPD doivent être votre base de référence
• Le consentement relatif aux cookies nécessite un blocage préalable—les cookies non exemptés ne peuvent pas s'exécuter tant que les utilisateurs n'ont pas donné leur consentement actif

FAQ

Pourquoi choisir Adalo plutôt que d'autres solutions de création d'applications ?

Adalo est un générateur d'applications alimenté par l'IA qui crée de véritables applications iOS et Android natives. Contrairement aux wrappers web, il compile en code natif et publie directement sur l'Apple App Store et le Google Play Store à partir d'une seule base de code, la partie la plus difficile du lancement d'une application étant gérée automatiquement. Les plans payants incluent des enregistrements de base de données illimités et aucun frais basé sur l'utilisation.

Quel est le moyen le plus rapide de créer et de publier une application sur l'App Store ?

L'interface glisser-déposer d'Adalo et les outils de construction assistés par l'IA vous permettent de passer de l'idée à l'application publiée en jours plutôt qu'en mois. Magic Start génère des fondations d'applications complètes à partir de descriptions, et la plateforme gère le processus complexe de soumission à l'App Store afin que vous puissiez vous concentrer sur les fonctionnalités plutôt que sur les certificats et les profils de provisionnement.

Puis-je facilement rendre mon application conforme à la légalité en matière de confidentialité ?

Oui. Adalo s'intègre à des solutions comme iubenda pour vous aider à générer des politiques de confidentialité et gérer le consentement relatif aux cookies, assurant que votre application répond aux exigences du RGPD, CCPA, CalOPPA et des directives du magasin d'applications sans avoir besoin d'expertise juridique.

Ai-je besoin d'une politique de confidentialité pour mon application mobile ?

Oui, l'App Store d'Apple et Google Play exigent tous deux que les applications aient une politique de confidentialité valide. Au-delà des exigences de la plateforme, les lois comme CalOPPA, CCPA et RGPD exigent légalement des politiques de confidentialité pour les applications qui collectent des données personnelles. Sans une politique de confidentialité conforme, vous risquez le rejet du magasin d'applications, des amendes légales et des dommages à la crédibilité de votre application.

Quelle est la différence entre les exigences des lois sur la confidentialité américaines et européennes ?

Les lois américaines comme CalOPPA et CCPA exigent généralement des mécanismes de consentement par opt-out et des divulgations spécifiques sur les pratiques de données. Le RGPD de l'UE est plus strict, exigeant un consentement explicite par opt-in par le biais d'actions affirmatif claires comme cocher des cases. Si votre application cible des utilisateurs dans les deux régions, suivez les exigences plus strictes du RGPD pour assurer la conformité partout.

Ai-je besoin d'une gestion du consentement relatif aux cookies pour mon application ?

Si votre application utilise des cookies, des traceurs ou des technologies similaires et a des utilisateurs basés dans l'UE, vous devez respecter la directive ePrivacy (Loi sur les cookies) et le RGPD. Cela signifie afficher une banneau de cookies, obtenir le consentement informé avant d'installer des cookies non exemptés et fournir une politique de cookies détaillée expliquant les données que vous collectez et pourquoi.

Quelles exigences spéciales s'appliquent si mon application est utilisée par des enfants ?

Si votre application collecte des données auprès d'enfants de moins de 13 ans, vous devez respecter COPPA aux États-Unis et les dispositions du RGPD dans l'UE. Les deux exigent l'obtention du consentement parental vérifiable avant de collecter les données des enfants, en utilisant des méthodes qui ne peuvent pas être facilement contrefaites par un enfant. Vous aurez également besoin d'une politique de confidentialité conforme à COPPA et d'avis de confidentialité adaptés à l'âge.

Combien de temps faut-il pour rendre une application conforme à la vie privée ?

En utilisant des outils comme le générateur de politique de confidentialité d'iubenda, vous pouvez créer une politique de confidentialité conforme en quelques minutes. La mise en œuvre de la gestion du consentement relatif aux cookies prend un peu plus de temps, mais peut généralement être complétée dans l'après-midi. La clé est de commencer tôt—intégrer la conformité dans votre application dès le départ est plus facile que de l'adapter ultérieurement.

Que se passe-t-il si mon application n'est pas conforme à la vie privée ?

La non-conformité peut entraîner le rejet du magasin d'applications, empêchant votre application d'atteindre les utilisateurs. Au-delà de cela, les violations du RGPD peuvent entraîner des amendes jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Les violations de la CCPA entraînent des amendes de 2 500 dollars par violation involontaire et 7 500 dollars par violation intentionnelle. Les dommages à la réputation causés par une violation de la confidentialité peuvent être tout aussi coûteux.

Les exigences en matière de confidentialité diffèrent-elles entre les applications Web et les applications mobiles natives ?

Les exigences légales sont essentiellement les mêmes—le RGPD, la CCPA et autres lois sur la confidentialité s'appliquent quel que soit la plateforme. Cependant, les applications mobiles natives publiées sur l'App Store et Google Play font face à des exigences supplémentaires spécifiques à la plateforme. Apple et Google exigent tous deux des politiques de confidentialité et ont leurs propres directives concernant les divulgations de collecte de données qui doivent être respectées pour l'approbation.