Skanopy
ENParlons-en
Tous les articles

Recommandation CNIL sur les applications mobiles : l’essentiel pour les éditeurs

10 juin 2026 · 4 min de lecture

La CNIL a publié sa recommandation relative aux applications mobiles en septembre 2024, puis l’a légèrement révisée en avril 2025. Depuis le printemps 2025, elle mène des contrôles dédiés. Pour les éditeurs, le cadre est désormais posé : la conformité d’une application ne se présume pas, elle se démontre.

Un texte pensé pour tout l’écosystème

La recommandation distingue cinq rôles : éditeur, développeur, fournisseur de SDK, fournisseur de système d’exploitation et magasin d’applications. L’éditeur concentre l’essentiel des obligations. C’est lui qui choisit les SDK, déclenche la collecte et répond devant l’utilisateur.

La CNIL précise qu’un éditeur assume a minima une co-responsabilité pour les traceurs utilisés par un SDK intégré à son application. Externaliser la mesure d’audience ou la monétisation n’externalise pas la responsabilité.

Ce que la CNIL attend concrètement

Le texte revient toujours aux mêmes fondamentaux : un consentement valide avant toute lecture ou écriture par les SDK, une politique de confidentialité accessible avant le téléchargement comme dans l’application, et un refus aussi simple que l’acceptation.

S’y ajoutent la minimisation des permissions, la sécurité des données, pour laquelle le texte cite le référentiel OWASP MASTG, et l’audit des partenaires. Chaque point se vérifie techniquement, et c’est précisément ce que feront les contrôleurs.

Des contrôles bien réels

Les contrôles annoncés ont eu lieu. La CNIL a fait des applications mobiles une priorité de 2025, en ciblant le paramétrage des SDK et l’accès aux données du téléphone via les permissions. Son bilan 2025 fait état de premières mises en demeure d’éditeurs, notamment sur la vérification de l’âge.

Le reste de l’Europe suit la même trajectoire : l’autorité norvégienne a vu confirmer en appel l’amende infligée à Grindr pour des données partagées via les SDK publicitaires de son application, et l’autorité italienne a sanctionné l’éditeur de l’application Replika.

Par où commencer

Trois chantiers produisent l’essentiel du résultat : cartographier les SDK réellement embarqués, car le déclaré ne suffit pas, vérifier ce que l’application transmet avant consentement et après refus, et réduire les permissions au strict nécessaire.

C’est l’ordre dans lequel un contrôleur regardera votre application. Autant le suivre avant lui.