Conformité des SDK mobiles Didomi – Recommandation CNIL et transparence des traitements
La CNIL a publié en septembre 2024 une recommandation spécifique visant à encadrer les pratiques des applications mobiles en matière de collecte de données personnelles et d’usage de traceurs. Elle rappelle notamment les exigences de transparence, de minimisation des permissions, de documentation des traitements et de preuve du consentement.
Cette recommandation s’adresse autant aux éditeurs d’applications qu’aux fournisseurs de solutions techniques, comme Didomi, qui interviennent en qualité de sous-traitant.
Dans ce contexte, Didomi publie de manière proactive des ressources dédiées, afin d’accompagner ses clients dans leur propre conformité, mais aussi pour leur donner les garanties nécessaires sur les mesures mises en œuvre dans le SDK Didomi pour les environnements mobiles (iOS, Android, frameworks hybrides).
Pourquoi cette page ?
En tant que sous-traitant, Didomi est responsable de fournir à ses clients, responsables de traitement, une documentation claire, exhaustive et à jour :
- sur les opérations réalisées via le SDK dans les applications mobiles ;
- sur la qualification juridique des traitements ;
- sur les engagements contractuels formalisés dans le DPA signé avec chaque client.
Message du DPO de Didomi : "Cette page est également conçue pour aider vos services juridiques et délégués à la protection des données (DPO) à répondre à vos obligations de documentation (articles 30 et 28 du RGPD), et à identifier précisément les opérations techniques concernées par l’usage de la CMP Didomi sur mobile." précise Sébastien Gantou.
Conformité : ce que Didomi met en œuvre
Didomi a aligné ses pratiques sur les exigences de la CNIL, à la fois en matière de sécurité, d’architecture modulaire et de transparence :
- Qualification RGPD des traitements opérés par le SDK, disponibles dans le registre ROPA
- Registre détaillé des opérations de lecture/écriture sur les terminaux, conforme au cadre ePrivacy (ROPO)
- Aucune activation de permissions système par le SDK
- Séparation des fonctionnalités : collecte de consentement, preuve, export, analytics, etc.
- Absence de traitement de données sensibles
- Transparence sur les transferts hors UE et garanties associées
- Mécanismes de sécurité documentés (chiffrement, encapsulation TLS, etc.)
- Mise à jour régulière de la documentation et information des clients en cas d’évolution du SDK
- Preuves de consentement disponibles à tout moment
- Procédures établies pour la gestion des violations de données
- Registres maintenus en ligne, à jour, et consultables à tout moment
Transparence : documents disponibles
Pour vous permettre d’évaluer et documenter précisément les traitements opérés via le SDK Didomi, deux registres sont mis à votre disposition :
Registre des traitements de données personnelles (ROPA)
Registre des opérations de traitement sur les terminaux (ROPO)
Ces deux documents sont alignés sur les attendus de la CNIL et seront mis à jour à chaque évolution significative.