---
title: "Applications mobiles : la CNIL et l’Autorité de la concurrence avancent main dans la main"
id: "3139"
type: "post"
slug: "applications-mobiles-la-cnil-et-lautorite-de-la-concurrence-avancent-main-dans-la-main"
published_at: "2024-09-26T12:22:47+00:00"
modified_at: "2026-03-03T09:55:13+00:00"
url: "https://augustdeboustg.wpenginepowered.com/article-juridique/applications-mobiles-la-cnil-et-lautorite-de-la-concurrence-avancent-main-dans-la-main/"
markdown_url: "https://augustdeboustg.wpenginepowered.com/article-juridique/applications-mobiles-la-cnil-et-lautorite-de-la-concurrence-avancent-main-dans-la-main.md"
taxonomy_category:
  - "Article"
taxonomy_language:
  - "Français"
taxonomy_tax_expertise:
  - "Données personnelles et cybersécurité"
---

Menu          Interagir avec notre IA

 Expertises (66) Transactionnel- [Brevets](https://augustdeboustg.wpenginepowered.com/expertise/brevets-2/)
- [Commande publique](https://augustdeboustg.wpenginepowered.com/expertise/commande-publique/)
- [Concurrence, régulation européenne et FDI](https://augustdeboustg.wpenginepowered.com/expertise/concurrence-et-aides-detat-2/)
- [Consommation, Marketing & Publicité](https://augustdeboustg.wpenginepowered.com/expertise/distribution-et-consommation-2/)
- [Contrats commerciaux et internationaux](https://augustdeboustg.wpenginepowered.com/expertise/contrats-commerciaux-et-internationaux/)
- [Contrôle des investissements étrangers](https://augustdeboustg.wpenginepowered.com/expertise/controle-des-investissements-etrangers/)
- [Données personnelles et cybersécurité](https://augustdeboustg.wpenginepowered.com/expertise/donnees-personnelles-et-cybersecurite/)
- [Droit boursier](https://augustdeboustg.wpenginepowered.com/expertise/droit-boursier/)
- [Droit du travail et de la sécurité sociale](https://augustdeboustg.wpenginepowered.com/expertise/droit-du-travail-et-de-la-securite-sociale/)
- [Financement](https://augustdeboustg.wpenginepowered.com/expertise/financement/)
- [Fiscalité](https://augustdeboustg.wpenginepowered.com/expertise/fiscalite/)
- [Fusions-acquisitions](https://augustdeboustg.wpenginepowered.com/expertise/fusions-acquisitions/)
- [Immobilier et Construction](https://augustdeboustg.wpenginepowered.com/expertise/immobilier-et-construction/)
- [Ingénierie Contractuelle & Partenariats](https://augustdeboustg.wpenginepowered.com/expertise/ingenierie-contractuelle-partenariats/)
- [Intelligence artificielle](https://augustdeboustg.wpenginepowered.com/expertise/intelligence-artificielle/)
- [International Trade](https://augustdeboustg.wpenginepowered.com/expertise/international-trade/)
- [Marchés de capitaux](https://augustdeboustg.wpenginepowered.com/expertise/marches-de-capitaux/)
- [Private equity](https://augustdeboustg.wpenginepowered.com/expertise/private-equity/)
- [Projets et Infrastructure](https://augustdeboustg.wpenginepowered.com/expertise/projets-et-infrastructure-2/)
- [Propriété intellectuelle](https://augustdeboustg.wpenginepowered.com/expertise/propriete-intellectuelle/)
- [Restructuring](https://augustdeboustg.wpenginepowered.com/expertise/restructuring/)
- [Supply Chain, Distribution & Réseaux](https://augustdeboustg.wpenginepowered.com/expertise/supply-chain-distribution-reseaux-2/)
- [Tech et digital](https://augustdeboustg.wpenginepowered.com/expertise/tech-et-digital/)

Résolution des litiges- [Actions de groupe](https://augustdeboustg.wpenginepowered.com/expertise/actions-de-groupe/)
- [Arbitrage et MARD](https://augustdeboustg.wpenginepowered.com/expertise/arbitrage-et-mard/)
- [Contentieux administratifs et publics](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-administratifs-et-publics-2/)
- [Contentieux boursiers](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-boursiers/)
- [Contentieux brevets](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-brevets/)
- [Contentieux commercial et corporate](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-commercial-et-corporate-2/)
- [Contentieux constitutionnels](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-constitutionnels-2/)
- [Contentieux de la concurrence](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-concurrence-consommation-et-distribution/)
- [Contentieux du droit du travail et de la sécurité sociale](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-du-droit-du-travail-et-de-la-securite-sociale-2/)
- [Contentieux environnementaux et ESG](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-environnementaux-et-esg-2/)
- [Contentieux européens](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-europeens/)
- [Contentieux fiscaux](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-fiscaux/)
- [Contentieux immobiliers, construction et urbanisme](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-immobiliers-construction-et-urbanisme/)
- [Contentieux produits défectueux et assurance](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-produits-defectueux-et-assurance/)
- [Contentieux propriété intellectuelle, média et presse](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-propriete-intellectuelle-media-et-presse/)
- [Contentieux tech, digital et data](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-tech-digital-et-data/)
- [Droit pénal des affaires et enquêtes](https://augustdeboustg.wpenginepowered.com/expertise/droit-penal-des-affaires-et-enquetes/)
- [Procédures collectives](https://augustdeboustg.wpenginepowered.com/expertise/procedures-collectives/)

Conseil- [Brevets](https://augustdeboustg.wpenginepowered.com/expertise/brevets-2/)
- [Consommation, Marketing & Publicité](https://augustdeboustg.wpenginepowered.com/expertise/distribution-et-consommation-2/)
- [Droit des assurances](https://augustdeboustg.wpenginepowered.com/expertise/droit-des-assurances/)
- [Droit du travail et de la sécurité sociale](https://augustdeboustg.wpenginepowered.com/expertise/droit-du-travail-et-de-la-securite-sociale/)
- [Fiscalité](https://augustdeboustg.wpenginepowered.com/expertise/fiscalite/)
- [Gouvernance et Droit des sociétés](https://augustdeboustg.wpenginepowered.com/expertise/gouvernance-et-droit-des-societes-2/)
- [Ingénierie Contractuelle & Partenariats](https://augustdeboustg.wpenginepowered.com/expertise/ingenierie-contractuelle-partenariats/)
- [Intelligence artificielle](https://augustdeboustg.wpenginepowered.com/expertise/intelligence-artificielle/)
- [Private Clients](https://augustdeboustg.wpenginepowered.com/expertise/private-clients/)
- [Propriété intellectuelle](https://augustdeboustg.wpenginepowered.com/expertise/propriete-intellectuelle/)
- [Supply Chain, Distribution & Réseaux](https://augustdeboustg.wpenginepowered.com/expertise/supply-chain-distribution-reseaux-2/)
- [Tech et digital](https://augustdeboustg.wpenginepowered.com/expertise/tech-et-digital/)

Réglementaire- [Actifs numériques et cryptoactifs](https://augustdeboustg.wpenginepowered.com/expertise/actifs-numeriques-et-cryptoactifs/)
- [Compliance et enquêtes](https://augustdeboustg.wpenginepowered.com/expertise/compliance-et-enquetes/)
- [Concurrence, régulation européenne et FDI](https://augustdeboustg.wpenginepowered.com/expertise/concurrence-et-aides-detat-2/)
- [Conformité et sécurité des produits](https://augustdeboustg.wpenginepowered.com/expertise/conformite-et-securite-des-produits/)
- [Données personnelles et cybersécurité](https://augustdeboustg.wpenginepowered.com/expertise/donnees-personnelles-et-cybersecurite/)
- [Droit boursier](https://augustdeboustg.wpenginepowered.com/expertise/droit-boursier/)
- [Droit de l’environnement et de l’urbanisme](https://augustdeboustg.wpenginepowered.com/expertise/droit-de-lenvironnement-et-de-lurbanisme/)
- [Droit européen](https://augustdeboustg.wpenginepowered.com/expertise/droit-europeen-2/)
- [Droit public](https://augustdeboustg.wpenginepowered.com/expertise/droit-public/)
- [ESG](https://augustdeboustg.wpenginepowered.com/expertise/esg-2/)
- [International Trade](https://augustdeboustg.wpenginepowered.com/expertise/international-trade/)
- [Régulation numérique et technologique](https://augustdeboustg.wpenginepowered.com/expertise/regulation-numerique-et-technologique/)
- [Sanctions internationales et contrôle des exportations](https://augustdeboustg.wpenginepowered.com/expertise/sanctions-internationales-et-controle-des-exportations/)

  Secteurs (13) - [Aéronautique et Défense](https://augustdeboustg.wpenginepowered.com/secteur/aeronautique-et-defense/)
- [Banque et Finance](https://augustdeboustg.wpenginepowered.com/secteur/1704/)
- [Data Centers](https://augustdeboustg.wpenginepowered.com/secteur/data-centers/)
- [Energie](https://augustdeboustg.wpenginepowered.com/secteur/energie/)
- [Immobilier et Construction](https://augustdeboustg.wpenginepowered.com/secteur/immobilier-et-construction/)
- [Industrie](https://augustdeboustg.wpenginepowered.com/secteur/industrie/)
- [Infrastructures](https://augustdeboustg.wpenginepowered.com/secteur/infrastructures/)
- [Luxe – Retail](https://augustdeboustg.wpenginepowered.com/secteur/luxe-retail/)
- [Médias](https://augustdeboustg.wpenginepowered.com/secteur/medias/)
- [Santé et Sciences de la vie](https://augustdeboustg.wpenginepowered.com/secteur/sante-et-sciences-de-la-vie/)
- [Sport](https://augustdeboustg.wpenginepowered.com/secteur/sport/)
- [Tech & Digital](https://augustdeboustg.wpenginepowered.com/secteur/tech-digital/)
- [Télécoms](https://augustdeboustg.wpenginepowered.com/secteur/telecoms/)

Cet article résumé en une minute avec l’IA

Le 24 septembre 2024, la CNIL a publié ses recommandations relatives aux applications mobiles.

Elles doivent accompagner tous les acteurs de la chaîne de valeur des applications mobiles afin qu’ils mènent leurs activités en conformité avec la réglementation en vigueur.

les préoccupations de l’Autorité de la concurrence sur le projet de recommandations

Pour la première fois, l’Autorité de la Concurrence (« **l’Autorité** ») a été saisie par la CNIL pour avis sur un projet de recommandation. Cette saisine concrétise les engagements pris par ces deux autorités administratives indépendantes dans leur déclaration conjointe de décembre 2023.

L’objectif de la CNIL était de s’assurer que ses recommandations protègent efficacement les données à caractère personnel des utilisateurs d’applications mobiles sans, pour autant, porter atteinte à une concurrence libre et non faussée.

Dans son avis du 4 décembre 2023[[1]](#_ftn1)
, qu’elle vient de publier, l’Autorité a insisté sur la nécessité de prendre en compte, dans l’élaboration par la CNIL de ses recommandations, la structure concurrentielle du secteur, et en particulier la position de certains acteurs.

Elle a constaté que des acteurs comme Google et Apple sont présents à tous les niveaux de la chaîne de valeur des applications mobiles. Ils sont à la fois fournisseur d’OS, de magasins d’applications et de SDK, éditeurs, développeurs et fournisseurs d’autres services.

Cette intégration verticale leur a permis de mettre en place des écosystèmes distincts pour lesquels ils établissent des règles spécifiques.

En outre, ils sont susceptibles de détenir une position dominante sur certains marchés de la chaîne de valeur et ont été désigné « contrôleurs d’accès » au sens du DMA pour plusieurs de leurs services.

Il était donc crucial que les recommandations de la CNIL ne viennent pas renforcer les asymétries de pouvoirs de marché au profit de ces opérateurs verticalement intégrés.

L’Autorité soulignait également que les recommandations de la CNIL ne devaient pas créer des barrières à l’entrée supplémentaires pour de nouveaux entrants sur le marché français ni des désavantages en termes de coûts ou de contraintes pour les entreprises établies en France.

La CNIL a tenu compte de ces préoccupations.

Elle a structuré ses recommandations pour que chaque acteur de l’écosystème dispose d’un plan d’actions personnalisé[[2]](#_ftn2)
.

**LES RECOMMANDATIONS DE LA CNIL ONT ÉTÉ ADAPTÉES POUR TENIR COMPTE DES PRÉOCCUPATIONS**

- L’éditeur

L’éditeur est l’acteur clé de l’écosystème. Il met l’application mobile à disposition des utilisateurs (le plus souvent par l’intermédiaire d’un ou plusieurs magasins d’applications) pour proposer ses produits et services.

Il définit le modèle économique, le mode de financement de l’application et détermine les fonctionnalités attendues de l’application.

En tant que responsable de traitement, l’éditeur doit notamment s’assurer de la prise en compte de la protection des données à caractère personnel dès la phase de conception de l’application (*privacy by design*) en identifiant les traitements de données à caractère personnel réalisés dans l’application et les règles applicables à ces traitements.

Afin de tenir compte de la spécificité technique du terminal utilisé, les recommandations contiennent notamment des instructions pratiques sur les éléments suivants :

- le recueil du consentement des utilisateurs et l’interaction entre le consentement et les permissions du système d’exploitation (OS) ;
- l’information des personnes concernées ;
- l’exercice des droits des personnes concernées ;

- Le développeur

Le développeur effectue la réalisation technique de l’application pour le compte de l’éditeur sur la base d’un cahier des charges établi et communiqué par ce dernier.

Les recommandations visent principalement à aider l’éditeur et le développeur à déterminer le rôle du développeur dans le traitement de données (responsable de traitement ou sous-traitant) selon la latitude qui lui est accordée dans le projet.

Par ailleurs, la CNIL fournit une grille de lecture sur le rôle de conseil que le développeur doit jouer auprès de l’éditeur pour l’accompagner dans ses choix techniques pour assurer la conformité de l’application au RGPD et aux recommandations de la CNIL.

- Le fournisseur de kits de développement logiciel (SDK)

Le fournisseur de SDK offre un ensemble d’outils pour le développement de l’application, en fonction du système d’exploitation utilisé. Le recours, très fréquent, à des SDK s’explique par leur capacité à faciliter ou accélérer le développement de fonctionnalités logicielles, et à éviter au développeur d’écrire l’intégralité du code de l’application.

Les recommandations de la CNIL accompagnent les fournisseurs dans la mise en œuvre des SDK notamment lorsque le SDK collecte des données pour des traitements qui lui sont propres.

La CNIL émet également des recommandations pratiques de nature à permettre une action concertée entre l’éditeur et le fournisseur de SDK pour que les traitements réalisés par le SDK soient portés à la connaissance de l’utilisateur et que ce dernier puisse fournir un consentement libre et éclairé.

- Le fournisseur de système d’exploitation (OS)

Il met à disposition le système d’exploitation spécialement configuré et installé sur le terminal mobile de l’utilisateur, environnement dans lequel l’application sera par la suite exécutée.

Les recommandations à destination des fournisseurs d’OS se concentrent principalement sur :

- le paramétrage des permissions (et notamment l’interaction entre les paramètres de l’OS et les paramètres de l’application pour que l’utilisateur puisse facilement modifier ses permissions) ;
- les mesures de sécurité de l’OS qui constituent le socle de la sécurité d’un terminal et d’une application ;
- la fourniture d’outils d’aide aux éditeurs pour faciliter l’exercice des droits des personnes concernées et la fourniture des informations sur le traitement de leurs données à caractère personnel.

- Le fournisseur de magasins d’applications (app store)

Il met à disposition une plateforme de distribution en ligne des applications, sous la forme d’une application accessible sur le terminal de l’utilisateur depuis un système d’exploitation compatible (par exemple l’App Store pour un terminal doté du système d’exploitation iOS d’Apple, ou le Play Store pour un terminal doté du système d’exploitation Android de Google). Le fournisseur du magasin d’applications est fréquemment, mais pas systématiquement, le fournisseur du système d’exploitation.

Les recommandations émises par la CNIL aux fournisseurs de magasins d’applications visent principalement à s’assurer de :

- la mise à disposition des éditeurs, d’outils destinés à faciliter la délivrance de l’information aux personnes concernées ;
- la réalisation des contrôles de conformité et de sécurité des applications avant leur mise à disposition sur le magasin d’applications ;
- la mise en place de procédés de signalement d’applications qui présentent des risques de sécurité ou qui contreviennent aux règles de protection des données.

la première occurrence d’une coopération forte

Dans son communiqué de presse du 24 septembre 2024, l’Autorité se « *réjouit de constater la prise en compte de ses préconisations par la CNIL dans ses recommandations pour concilier une protection effective des droits fondamentaux des utilisateurs avec un environnement concurrentiel dynamique dans le secteur des applications mobiles*».

On le sait, depuis l’affaire Facebook devant le Bundeskartellamt, les autorités de concurrence ont toutes identifié les données comme un facteur puissant de concurrence et, par conséquent, un terreau potentiellement fertile pour les pratiques anticoncurrentielles.

Les recommandations de la CNIL concernant les applications mobiles démontrent que la déclaration conjointe de décembre 2023 ne se limite pas à une simple déclaration d’intention, mais qu’elle a effectivement donné lieu à des actions concrètes.

L’Autorité et la CNIL entendent collaborer pour prévenir, voire sanctionner, les usages abusifs des données. Ces recommandations marquent donc vraisemblablement la première étape d’une coopération étroite entre ces deux autorités.

À noter que la CNIL a annoncé initier dès le printemps 2025 une série de contrôles sur le respect de ces recommandations.

[[1]](#_ftnref1)
 Avis n°23-A-20 du 4 décembre 2023 relatif au projet de recommandation de la CNIL relative aux applications mobiles.

[[2]](#_ftnref2)
 CNIL, [Recommandation relative aux applications mobiles](https://www.cnil.fr/sites/cnil/files/2024-09/recommandation-applications-mobiles.pdf)
, Septembre 2024.

Partager l’article

- Linkedin
- Copier le lien

Cet article résumé en une minute avec l’IA

### Auteurs

3

- [Florence Chafiol](https://augustdeboustg.wpenginepowered.com/collaborateur/florence-chafiol/)
- [Robin Nini](https://augustdeboustg.wpenginepowered.com/collaborateur/robin-nini/)
- [Maëva Ammel](https://augustdeboustg.wpenginepowered.com/collaborateur/maeva-ammel/)

### Expertise

1

- [Données personnelles et cybersécurité](https://augustdeboustg.wpenginepowered.com/tax-expertise/donnees-personnelles-et-cybersecurite/)

## Découvrir d’autres contenus *qui pourraient vous intéresser*

Actualités

[09/03/26 Article 13 min Le secret médical à l’épreuve des cyberattaques : réflexions autour du cas Cegedim Santé Découvrir](https://augustdeboustg.wpenginepowered.com/article-juridique/le-secret-medical-a-lepreuve-des-cyberattaques-reflexions-autour-du-cas-cegedim-sante/)
[19/02/26 Données personnelles et cybersécurité 0 min Groupe Énergétique – Stratégie mondiale de transferts de données Conseil à un leader du secteur de l'énergie dans la définition d'une stratégie internationale de transferts de données conforme au RGPD, incluant l’analyse des BCR et la structuration des responsabilités entre entités européennes. Découvrir](https://augustdeboustg.wpenginepowered.com/business-case/groupe-energetique-strategie-mondiale-de-transferts-de-donnees/)
[19/02/26 Données personnelles et cybersécurité 0 min Groupe de Services à l’Environnement – Gouvernance et conformité RGPD Conseil à un groupe de services à l'environnement sur la mise en œuvre de sa gouvernance RGPD : rédaction de modèles contractuels, gestion des droits d'accès, qualification des rôles et harmonisation des pratiques internes. Découvrir](https://augustdeboustg.wpenginepowered.com/business-case/groupe-de-services-a-lenvironnement-gouvernance-et-conformite-rgpd/)