Apple fixe la date d'entrée en vigueur des exigences relatives à la suppression des comptes dans les applications et rappelle aux développeurs de se conformer aux lois et avis de confidentialité
Le 6 octobre 2021, Applea annoncéque l'obligation pour les applications permettant aux utilisateurs de créer un compte de leur permettre également de supprimer leur compte depuis l'application entrera en vigueur le 31 janvier 2022. Apple avait initialement publié ces exigences dansla section 5.1.1 des directives de l'App Store, alors que les pratiques de nombreuses grandes entreprises technologiques en matière de confidentialité font l'objet d'une surveillance accrue de la part des législateurs fédéraux et autres, et que les gouvernements des États américains continuent d'adopter de nouvelles lois sur la confidentialité (dont beaucoup incluent le droit de supprimer ses données personnelles). Ces changements récents peuvent représenter une tentative de la part du secteur technologique de devancer toute législation fédérale par le biais de l'autorégulation, ainsi qu'une reconnaissance du fait que des pratiques strictes en matière de confidentialité peuvent constituer un avantage concurrentiel par rapport à leurs concurrents.
| LES NOUVELLES EXIGENCES D'APPLE EN MATIÈRE DE SUPPRESSION EN UN COUP D'ŒIL | |
|
– Apple a publié une mise à jour le 6 octobre 2021 indiquant que ses directives de vérification de l'App Store, qui exigent que toute application permettant la création d'un compte dans l'application autorise également la suppression de ce compte, entreront en vigueur le 31 janvier 2022. – La mise à jour encourage également les développeurs d'applications à examiner les lois qui peuvent exiger la conservation de certains types de données, et à fournir une déclaration de confidentialité expliquant leurs pratiques en matière de confidentialité, y compris la conservation/suppression des données personnelles. Les développeurs sont également encouragés à vérifier que leurs déclarations de confidentialité actuelles sont exactes. – Bon nombre des exigences des directives d'examen de l'App Store d'Apple recoupent celles de diverses lois sur la protection de la vie privée, telles que le RGPD et le CCPA. Cependant, le respect des directives d'examen de l'App Store ne suffit pas pour se conformer à ces lois, et les exigences en matière de suppression restent soumises aux limitations et exceptions applicables en vertu de ces lois. – Il n'est pas clair si une demande de suppression d'un compte déclenche une demande d'exercice du droit du consommateur à la suppression de ses informations personnelles ou du droit à l'oubli, ou si une étape supplémentaire peut être autorisée. – Les entreprises doivent revoir et mettre à jour leurs avis et pratiques en matière de confidentialité et entreprendre tout développement technologique nécessaire pour se conformer aux directives d'Apple. |
|
Portée de la nouvelle exigence relative à la suppression des comptes
La nouvelle exigence relative à la suppression des comptes a été initialement introduite dans une mise à jour de la section 5.1.1 des directives de l'App Store Review Guidelines dans le cadre d'une révision plus large en juin 2021. Cependant, les nouvelles directives précisent qu'Apple commencera à appliquer l'exigence de suppression des comptes pour toutes les soumissions d'applications (qu'il s'agisse d'une mise à jour ou d'une nouvelle application) pour toutes les plateformes Apple (y compris iOS, MacOS et iPadOS) à compter du 31 janvier 2022. Les applications disponibles sur l'App Store d'Apple avant cette date ne doivent pas nécessairement être mises à jour uniquement pour se conformer à cette exigence. Cependant, il peut être prudent pour les développeurs d'applications de commencer dès maintenant à planifier la mise en place de la fonctionnalité de suppression de compte requise dans les applications et les serveurs appropriés, avant de mettre à jour les applications existantes avec d'autres fonctionnalités supplémentaires ou des corrections de bogues.
La nouvelle exigence s'applique uniquement aux applications qui prennent en charge la création de comptes. Bien que l'exigence relative à la suppression des comptes ne soit pas explicitement limitée à un certain type d'applications, elle ne semble pas s'appliquer aux applications qui utilisent simplement un compte créé dans un contexte différent. Par conséquent, les applications telles que la plupart des applications bancaires et autres qui fournissent simplement une interface via une application mobile pour les entreprises traditionnelles physiques sont susceptibles d'être exemptées de ces exigences, à condition que les comptes requis pour ces applications soient créés entièrement hors ligne, par exemple via un site web ou une application papier. Toutefois, les applications impliquées dans l'économie collaborative, ainsi que certaines applications récentes liées aux actions, aux cryptomonnaies, aux paiements instantanés et autres applications similaires qui fonctionnent uniquement via l'application mobile seront soumises à ces exigences.
Étiquettes nutritionnelles confidentielles et responsabilité de se conformer aux lois sur la confidentialité
L'année dernière, Apple a exigé des développeurs d'applications qu'ils fournissent des détails sur leurs pratiques en matière de collecte et d'utilisation des données pour les applications nouvelles ou mises à jour disponibles sur ses boutiques d'applications, et a commencé à publierdes « étiquettes nutritionnelles de confidentialité »pour les applications. Les directives d'Apple stipulent que les politiques de confidentialité des applications sont également soumises à l'examen et à l'approbation d'Apple.
L'annoncedu 6 octobre et les directives de l'App Store rappellent aux développeurs d'applications qu'il leur incombe de se conformer à toutes les lois applicables en matière de confidentialité, ainsi qu'aux meilleures pratiques en matière de confidentialité publiées par Apple (qui comprennent des directives réglementaires et sectorielles), aux conditions du contrat de licence du programme pour développeurs Apple et aux attentes des clients.
Cependant, la section 5.1.1 des directives de l'App Store exige également le respect d'exigences supplémentaires en matière de confidentialité, notamment :
- Exigences relatives aux avis de confidentialité : exigence selon laquelle les avis de confidentialité (1) confirment auprès de tout tiers avec lequel l'application partage les données des utilisateurs que ce tiers fournira une protection identique ou équivalente aux données des utilisateurs ; (2) identifient les données des utilisateurs que l'application collecte, la manière dont elle collecte ces données et toutes les utilisations qui en sont faites ; et (3) expliquent ses politiques de conservation et de suppression des données. Ces avis de confidentialité devront peut-être être mis à jour afin de décrire plus en détail les nouvelles exigences relatives à la suppression des comptes via l'application. Les développeurs d'applications doivent consulter un conseiller juridique qualifié afin d'élaborer des avis de confidentialité et des politiques et procédures de confidentialité conformes à la multitude de lois potentiellement applicables, ainsi qu'aux exigences d'Apple.
- Consentement : les applications qui collectent des données sur les utilisateurs ou leur utilisation doivent obtenir leur consentement pour cette collecte, et celles qui collectent des données sur la base d'intérêts légitimes en vertu du RGPD (ou d'une loi similaire) doivent se conformer à toutes les dispositions de ces lois.
- Minimisation des données : les applications ne doivent collecter et demander l'accès qu'aux données pertinentes pour leur fonctionnalité principale.
- Limitation des finalités : les applications doivent respecter les paramètres d'autorisation de l'utilisateur et ne doivent pas tenter de manipuler, tromper ou forcer les personnes à consentir au traitement inutile de leurs données à caractère personnel.
Ces exigences en matière de confidentialité sont des principes fondamentaux bien connus, dont beaucoup ont été intégrés dans des lois sur la confidentialité telles que le RGPD, le CCPA et le CPRA de Californie, le CDPA de Virginie et le CPA du Colorado. Cependant, il convient de rappeler aux entreprises que le respect des directives d'Apple ne suffit pas pour se conformer à ces lois, qui ont chacune leurs propres exigences et exceptions. Les entreprises doivent régulièrement consulter un conseiller juridique qualifié afin de s'y retrouver dans la multitude d'exigences en matière de confidentialité contenues dans ces lois et dans d'autres, tout en restant conformes aux exigences de l'App Store d'Apple.
Exigences de suppression peu claires
Les nouvelles lignes directrices ne précisent pas clairement si l'obligation de supprimer le compte d'un utilisateur via une application doit être automatiquement considérée comme un exercice du droit de suppression (ou « droit à l'oubli ») de l'utilisateur en vertu de la loi applicable ou de la déclaration de confidentialité, sous réserve des exceptions applicables, ou s'il est acceptable d'exiger des utilisateurs de l'application qu'ils fassent une demande distincte pour supprimer leurs données personnelles. Étant donné que de nombreuses réglementations exigent que les utilisateurs confirment la suppression de leurs données personnelles, les nouvelles lignes directrices autorisent probablement au moins l'utilisation d'un deuxième facteur de confirmation et un examen de la demande par le développeur. Ainsi, les nouvelles exigences n'obligent probablement pas toutes les applications à procéder automatiquement à la suppression du compte, en particulier lorsque la suppression des données personnelles peut faire l'objet d'une exception légale.
Conclusions
Apple, comme beaucoup d'autres grandes entreprises technologiques, continue de modifier ses exigences en matière de confidentialité afin de se conformer aux nouvelles lois en constante évolution dans ce domaine et d'obtenir un avantage concurrentiel sur ses concurrents. Les nouvelles directives pourraient également constituer une tentative visant à démontrer aux régulateurs que l'autorégulation permet et continuera de permettre de protéger de manière adéquate les données personnelles des consommateurs américains, et qu'il n'est donc pas nécessaire d'adopter des réglementations supplémentaires importantes, notamment au niveau fédéral et/ou étatique. À ce titre, les développeurs d'applications doivent s'attendre à de nouveaux changements dans les exigences d'Apple et d'autres plateformes technologiques en matière de confidentialité et de sécurité.
Compte tenu des nouvelles directives actuelles, les développeurs d'applications sur l'App Store d'Apple doivent commencer à suivre les étapes suivantes bien avant la date limite de mise en œuvre fixée au 31 janvier 2022 :
- Vérifiez les capacités de création de compte de toutes les applications publiées sur l'App Store d'Apple afin de déterminer si l'application permet au consommateur de créer un compte, ou si la création de compte s'effectue entièrement hors ligne ou via d'autres interfaces (y compris des interfaces Web) ;
- Examinez et mettez à jour régulièrement les avis de confidentialité et les pratiques en matière de confidentialité (en particulier les avis et pratiques qui s'appliquent à la collecte et à l'utilisation des données personnelles provenant des applications) avec l'aide d'un conseiller juridique qualifié et assurez-vous que ces pratiques sont conformes aux exigences d'Apple ainsi qu'à toutes les lois applicables.
- Mettre à jour les politiques de conservation et de suppression des données afin de se conformer aux nouvelles exigences d'Apple en matière de suppression de compte et aux mises à jour des directives de l'App Store Review Guidelines ; et
- Commencer à développer toute application et tout service technologique nécessaires pour se conformer à l'exigence selon laquelle les utilisateurs doivent se voir proposer la suppression de leur compte dans l'application lorsqu'ils ont pu créer ce compte via l'application.
Pour plus d'informations sur la conformité d'une entreprise aux lois sur la confidentialité et/ou aux nouvelles exigences d'Apple lors de la création ou de la mise à jour d'applications pour l'App Store d'Apple, veuillez contacter l'un des auteurs mentionnés ci-dessous ou l'un des membres principaux du cabinet Foley spécialisé dans la cybersécurité.
