RGPD et application mobile en 2026 : géolocalisation, SDK et consentement

Les applications mobiles sont des collecteurs de données particulièrement intrusifs : identifiant publicitaire, géolocalisation précise, capteurs, contacts, et surtout une multitude de SDK tiers (analytics, publicité, crash reporting). Le RGPD s'applique pleinement, et la CNIL a publié des recommandations spécifiques aux apps. Voici l'essentiel pour iOS et Android.

Ce qui change par rapport à un site web

Sur le web, le sujet n°1 est la bannière cookies. Sur mobile, les cookies sont remplacés par :

• l'identifiant publicitaire (IDFA sur iOS, AAID sur Android) ;
• l'accès aux capteurs et données de l'appareil (géoloc, contacts, photos, micro) ;
• les SDK tiers intégrés au code de l'app, qui peuvent transmettre des données dès l'ouverture.

Le principe reste le même : pas de suivi ni de collecte non nécessaire sans consentement préalable, libre, éclairé et spécifique.

Les enjeux RGPD d'une app mobile

1. Le consentement avant tout traceur non essentiel

Comme pour les cookies, déposer un identifiant publicitaire ou activer un SDK analytics non strictement nécessaire exige le consentement de l'utilisateur, recueilli au premier lancement, avant toute transmission. Un écran de consentement clair, avec un vrai choix « Accepter / Refuser » de même poids, est indispensable. La logique est identique à celle de la bannière cookie conforme.

2. Les SDK tiers sont vos sous-traitants

Chaque SDK intégré (Firebase, Google Analytics, Facebook SDK, AppsFlyer, Adjust…) traite des données pour votre compte : ce sont des sous-traitants au sens de l'article 28, avec DPA à conserver. Beaucoup sont américains : pensez aux transferts hors UE. Faites l'inventaire complet de vos SDK — c'est souvent là que se cachent les fuites. Voir notre guide sous-traitant et DPA.

3. La géolocalisation : précise et minimisée

La géolocalisation est une donnée sensible par son caractère intrusif. Règles d'or :

• ne demandez la permission que lorsque la fonctionnalité l'exige (pas au premier lancement « par défaut ») ;
• préférez la localisation approximative si la précision n'est pas nécessaire ;
• ne collectez pas en arrière-plan sans justification claire ;
• expliquez précisément l'usage dans le message de permission.

Voir notre guide complet de la géolocalisation RGPD.

4. App Tracking Transparency et le cadre constructeur

Sur iOS, l'App Tracking Transparency (ATT) d'Apple impose une autorisation pour le suivi inter-apps. Important : l'autorisation ATT ne remplace pas le consentement RGPD — ce sont deux cadres distincts qui se cumulent. Vous devez respecter les deux.

Construire une app conforme

Étape 1 — Privacy by design

Intégrez la conformité dès la conception : minimisation des permissions, chiffrement des données stockées, anonymisation quand c'est possible. Une permission non demandée est un risque en moins.

Étape 2 — Écran de consentement au premier lancement

Présentez les finalités (analytics, publicité, personnalisation) avec un choix granulaire. Conservez la preuve du consentement et offrez un moyen simple de le retirer à tout moment (écran réglages de l'app).

Étape 3 — Politique de confidentialité accessible dans l'app

Elle doit être lisible avant la création de compte et accessible depuis les réglages. Remplissez aussi les fiches de confidentialité des stores (Apple Privacy Nutrition Labels, Google Data Safety) — elles doivent refléter la réalité de vos SDK. Modèle : politique de confidentialité 2026.

Étape 4 — Droits des utilisateurs

Prévoyez dans l'app la suppression du compte et l'export des données (cf. demandes d'accès et d'effacement). Apple et Google imposent d'ailleurs une fonction de suppression de compte depuis l'app.

Étape 5 — Registre et durées

Inscrivez chaque traitement (analytics, géoloc, notifications push) et chaque SDK dans votre registre des traitements, avec les durées de conservation.

Checklist conformité app mobile

• [ ] Inventaire complet des SDK tiers (analytics, pub, crash, attribution)
• [ ] DPA conservé pour chaque SDK sous-traitant
• [ ] Écran de consentement au premier lancement (refus aussi simple qu'accepter)
• [ ] Aucun traceur non essentiel activé avant consentement
• [ ] Permissions (géoloc, contacts…) demandées au moment de l'usage uniquement
• [ ] Géolocalisation approximative privilégiée, pas de fond injustifié
• [ ] ATT (iOS) gérée en plus du consentement RGPD
• [ ] Politique de confidentialité accessible dans l'app + fiches store à jour
• [ ] Suppression de compte et export possibles depuis l'app
• [ ] Transferts hors UE mentionnés (SDK américains)
• [ ] Traitements et SDK inscrits dans votre registre des traitements

Votre app a aussi un site vitrine ou une page de téléchargement ? Scannez-le gratuitement pour vérifier les cookies et trackers de votre présence web.