La CNIL actualise ses recommandations sur les applications mobiles : des précisions importantes pour les technologies de santé

Publié le lundi 28 avril 2025 à 11h35

Désormais, les applications mobiles en santé, même à usage strictement personnel, doivent se conformer à certaines règles de sécurité et de transparence pour garantir la protection des données.

Des recommandations qui s’adressent aux acteurs du numérique en santé

Publiée le 8 avril 2025, la nouvelle recommandation de la CNIL clarifie les obligations des professionnels du secteur des applications mobiles, y compris ceux œuvrant dans le champ de la santé. Éditeurs, développeurs, fournisseurs de SDK ou de systèmes d’exploitation sont directement concernés. L’objectif est de mieux encadrer les traitements de données personnelles opérés via les applications, notamment celles embarquant des fonctions sensibles (géolocalisation, biométrie, capteurs de santé, etc.).

Les dispositifs médicaux personnels connectés, les objets de santé en lien avec l’Internet des objets (IoT), ou encore les montres connectées de suivi de l’activité sont explicitement intégrés dans le périmètre de la recommandation.

Un encadrement spécifique pour les applications santé à usage domestique

La CNIL rappelle que les applications de santé stockant localement des données, sans transmission à un serveur tiers, peuvent bénéficier d’une exemption du RGPD si deux conditions sont réunies : le traitement doit être initié à la discrétion de l’utilisateur, et les données ne doivent pas sortir de son terminal. Cela concerne, par exemple, les journaux de glycémie ou les applications de suivi menstruel configurées en mode hors ligne.

Toutefois, dès qu’un échange de données avec un tiers (éditeur, fournisseur d’OS ou SDK) intervient, les obligations du RGPD s’appliquent pleinement.

Développeurs et éditeurs face à leurs responsabilités

Dans l’écosystème des apps santé, les éditeurs sont généralement considérés comme responsables de traitement. Ils doivent garantir une information claire à l’utilisateur, gérer les consentements, et sécuriser les données collectées. Les développeurs externes peuvent, quant à eux, être considérés comme sous-traitants s’ils interviennent sur les flux de données ou la maintenance. La CNIL recommande, dans tous les cas, une formalisation contractuelle explicite de leurs rôles et responsabilités.

Attention particulière sur les SDK et services tiers

L’usage de kits de développement logiciel (SDK) est fréquent dans les applications santé pour intégrer des fonctions de partage, de paiement ou de mesure. Ces briques logicielles peuvent opérer des lectures de données sensibles (localisation, identifiants mobiles, etc.) pour le compte de l’éditeur ou pour leur propre compte, notamment à des fins de profilage publicitaire. Les éditeurs sont invités à vérifier ces traitements et à les documenter précisément.

Vers une meilleure sécurité par conception

Enfin, la CNIL recommande aux acteurs du numérique en santé d’intégrer les principes de protection des données dès la conception des applications. Cela inclut la minimisation des données, le chiffrement local, la mise à jour régulière de l’application et l’élimination des versions obsolètes présentant des failles de sécurité.

Recommandation relative aux applications mobiles – modifiée