Intégrations de « SDK » et vie privée ? Décryptage des recommandations de la CNIL
La CNIL complète ses recommandations sur les applications mobiles, en s’intéressant cette fois aux « SDK » (Software Development Kits).
Derrière ces trois lettres se cachent des modules indispensables pour les développeurs, mais qui peuvent aussi soulever des questions importantes en matière de protection des données personnelles.
Dans cet article, nous vous proposons de découvrir simplement ce que sont les SDK et de faire le point sur les nouvelles recommandations de la CNIL pour garantir un usage respectueux des données des utilisateurs ⬇️
🔍 Tout d'abord, qu’est-ce qu’un « SDK » ?
Un SDK (Software Development Kit ou Kit de Développement Logiciel) est un ensemble d’outils, de bibliothèques, de documentation et de codes d’exemple mis à disposition par une entreprise ou une organisation pour aider les développeurs à créer des applications ou des logiciels spécifiques.
À quoi ça sert ?
✓ Créer des applications : Les SDK permettent de développer des applications compatibles avec un environnement particulier, comme un système d’exploitation (ex. iOS, Android), un logiciel (ex. Photoshop), ou une plateforme (ex. Facebook, Google).
✓ Accéder aux fonctionnalités d’une plateforme : Par exemple, un SDK pour Android permet d’utiliser des fonctionnalités comme la caméra, le GPS ou les notifications.
✓ Faciliter le développement : Ils incluent des bibliothèques préconstruites qui évitent de réinventer la roue : les développeurs gagnent du temps et réduisent les erreurs.
Qui les utilise ?
✓ Les développeurs de logiciels et d’applications : Qu’ils travaillent sur des jeux, des apps mobiles, ou des solutions cloud, les SDK leur servent de boîte à outils pour développer rapidement des fonctionnalités avancées.
✓ Les entreprises technologiques : Elles utilisent les SDK pour créer des intégrations avec d’autres systèmes ou des fonctionnalités spécifiques.
Qui les développe ?
✓ Les éditeurs de logiciels : Par exemple, Google développe des SDK pour Android, Microsoft pour Windows, et Apple pour iOS.
✓ Des entreprises ou plateformes : Les SDK peuvent être créés par des plateformes spécifiques comme Stripe (paiement en ligne) ou Mapbox (cartographie).
🚨 Quels sont les risques des SDK pour la vie privée ?
Quand un SDK est intégré dans une application, il a souvent les mêmes permissions que cette dernière (par exemple, accès aux données personnelles comme la localisation ou les photos).
Cela peut comporter des risques, car :
▸ Comportement malveillant : certains SDK cachent des logiciels malveillants (malwares). Par exemple, le malware SpinOK collectait des données sensibles via un SDK publicitaire.
▸ Collecte excessive de données : un SDK peut collecter plus de données que ce que pense le développeur ou les utilisateurs. Exemple : l’application Muslim Pro a été accusée de vendre des données de localisation.
▸ Erreur ou mauvaise configuration : des développeurs peuvent mal configurer un SDK. Exemple : l’application MIA partageait des données de santé avec des services comme Facebook.
📜 Que recommande la CNIL ?
Pour limiter ces risques et respecter le RGPD, la CNIL propose un panel de mesures à mettre en place pour les différents acteurs. Il s'agit par exemple de :
Développeurs et éditeurs d’applications
✓ Identifier clairement les traitements de données réalisés par chaque SDK.
✓ Vérifier que le SDK respecte les règles de consentement des utilisateurs.
✓ Donner des instructions précises au développeur sur le choix et la configuration des SDK.
✓ Réaliser des audits sur les fournisseurs de SDK.
Fournisseurs de SDK
✓ Documenter précisément leurs traitements de données pour permettre aux développeurs de vérifier leur conformité.
✓ Garantir que les traitements de données ne commencent qu’après un consentement valide des utilisateurs.
✓ Mettre en place des systèmes sécurisés et offrir des API pour gérer les droits des utilisateurs (par exemple, droit à l’effacement).
🏷️ Quels rôles pour les SDK dans le cadre du RGPD ?
Comme pour tout traitement de données à caractère personnel, l'identification claire du rôle d'un intervenant est essentielle pour déterminer les responsabilités de ce dernier.
En matière d'applications mobiles, et selon l’utilisation des données personnelles, un fournisseur de SDK peut ainsi être :
▸ Responsable de traitement : s’il utilise les données pour son propre compte.
▸ Sous-traitant : s’il agit uniquement selon les instructions de l’éditeur de l’application.
▸ Sans rôle au regard du RGPD : s’il ne traite pas de données personnelles.
Cette qualification doit être définie dans un contrat clair entre les parties.
En résumé ➡️ Les SDK sont des outils indispensables au développement d’applications, mais ils impliquent des risques pour la vie privée si mal utilisés ou mal configurés.
Dans son article complet, la CNIL insiste sur la responsabilité de l’ensemble des acteurs impliqués (éditeurs, développeurs, et fournisseurs de SDK) pour garantir la transparence et la conformité au RGPD.
Articles similaires pouvant vous intéresser :
________________________________________
Article rédigé par Ninon MAIRE, le 22/01/2025
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
