La RGPD : les solutions hybrides vont-elles achever votre app mobile ?

La RGPD (ou GPDR) entre en vigueur au 25 mai 2018 : soyez prêt !

Pour ceux qui veulent un rappel sur la RGPD, ce document est une bonne synthèse.

La RGPD concerne-t-elle mon entreprise ?

Si on manipule de près ou de loin des données personnelles, on est concerné.

Cela peut être :

• une donnée directe : nom, prénom, email
• une donnée indirecte : téléphone, adresse postale, adresse MAC, adresse IP.

C’est encore pire si on manipule des données sensibles :

• santé
• convictions religieuses
• orientation sexuelle.

En gros, même en faisant des statistiques d’utilisation, vous devez informez vos utilisateurs et avoir leur consentement.

Quel est le risque ?

Le risque est une amende pouvant aller jusqu’à 20 millions d’euros et 4 % du chiffre d’affaires annuel.

Sachant que dans le cadre d’une application mobile, étant donné que l’on partage le terrain avec le propriétaire de la plateforme mobile (Google, Apple), le risque le plus direct est de ne plus pouvoir publier son application sur l’App Store ou Google Play.

Ce qu’impose la RGPD

La liste n’est pas exhaustive, mais les principales règles sont les suivantes :

• informer l’utilisateur de ce que l’on fait de ses données (où et comment sont-elles stockées / transférées)
• avoir le consentement de l’utilisateur avant d’opérer sur ses données, après l’avoir informé
• s’assurer de ne pas utiliser les données de manière abusive : tout usage des données doit être clairement explicité
• offrir à l’utilisateur la possibilité de supprimer ses données personnelles
• offrir un niveau de sécurité suffisant
• garantir un processus de conception optimisant la sécurité et la confidentialité des données
• et bien d’autres règles principalement liées à la confidentialité et la sécurité des données.

Quel est le problème avec les applications hybrides ?

Les applications hybrides s’appuient souvent sur des systèmes de plugins pour stocker les données.

En gros, pour stocker les données de manière sécurisée, on fera appel à un plugin. Sans savoir s’il stocke les données via un procédé suffisamment sécurisé. Sans savoir où il stocke ces données.

Imaginer un message de consentement de ce type :

Nous stockons vos données personnelles quelque part sur votre mobile, selon un procédé a priori sécurisé.

Est-ce bien sérieux ?

D’autant que si on utilise de l’hybride “web” (Cordova & co), le code source est complètement accessible via les fichiers javascripts et HTML.

Si on utilise de l’hybride “natif” (React Native), le code source est également en partie accessible via le fichier main.jsbundle.

Le développement mobile hybride n’est pas optimisé pour la sécurité et la confidentialité des données, y compris avec des solutions comme React Native qui pourraient faire croire le contraire.

Quelles solutions apportent un développement natif ?

Le développement natif est porté par les propriétaires des solutions mobiles (Apple, Google).

Dès lors, ils font en sorte de garantir la sécurité et la confidentialité des données que vous exploitez : c’est dans leur intérêt.

La preuve ?

Apple

Apple propose une documentation précise à ce sujet :

https://images.apple.com/fr/business/docs/iOS_Security_Guide.pdf

Et une documentation abondante pour les développeurs :

Security | Apple Developer Documentation

Google

Google n’est pas en reste et propose également une documentation complète pour Android :

Security | Android Open Source Project