Skanopy
ENParlons-en
Tous les articles

SDK tiers et trackers : ce que votre application embarque vous engage

10 juin 2026 · 4 min de lecture

Une application mobile embarque couramment des dizaines de SDK tiers : régies publicitaires, attribution, analytics, crash reporting, paiement. Chacun exécute son propre code dans votre application, avec vos permissions, vers ses propres serveurs. Et tout ce qu’ils y font vous engage.

Une responsabilité qui ne se délègue pas

La position de la CNIL est constante : l’éditeur assume a minima une co-responsabilité pour les traceurs utilisés par un SDK intégré à son application, et doit auditer le respect des engagements de ses partenaires.

Le contrat avec le fournisseur de SDK ne suffit donc pas. Il faut savoir ce que le SDK fait réellement dans l’application, pas seulement ce que sa documentation promet.

Le précédent Grindr

L’affaire Grindr illustre le risque. L’autorité norvégienne a infligé 65 millions de couronnes d’amende, environ 6 millions d’euros, pour des données d’utilisateurs partagées avec des partenaires publicitaires via les SDK embarqués dans l’application, sans consentement valable. La décision a été confirmée en appel en octobre 2025.

La sanction vise l’éditeur de l’application. Pas les régies qui recevaient les données.

L’inventaire d’abord

Le point de départ est un inventaire honnête : quels SDK sont réellement présents dans le binaire distribué, au-delà de ce que les équipes croient avoir intégré. Les dépendances transitives et les versions héritées réservent des surprises.

Les référentiels publics recensent plusieurs centaines de trackers connus, identifiables par leurs signatures de code et de réseau. C’est contre cette base qu’une application doit être passée au crible, à chaque version.

Puis la preuve

L’inventaire dit ce qui est embarqué, pas ce qui se passe. Reste à observer le comportement réel : quelles données partent avant le consentement, que se passe-t-il après un refus, vers quels domaines, dans quels pays.

C’est cette preuve, datée et reproductible, qui fait la différence en cas de contrôle. Un éditeur qui sait répondre à ces questions avant le régulateur garde la main sur le calendrier.