Consentement pour la remontée de données de crash
kenji21 opened this issue · 3 comments
Bonjour,
Sur une app mobile ou bien une "single page app" qui s'execute donc coté client, en cas de plantage de l'application, on remonte parfois des rapport de crashs (type d'appareil, RAM disponible, espace disque libre, stack traces de chaque thread, potentiellement couplé avec les dernières actions de l'utilisateur, ce qui aide à la correction du crash)
Est-ce que la remontée de ces données "techniques" qui sont anonymes doivent être soumises au consentement de l'utilisateur ?
Bonjour,
en attendant un retour de la CNIL sur le sujet, je donne un avis.
Le fait que les données soient anonymes ou pas n'entre pas en considération pour l'exemption du consentement. C'est la directive ePrivacy - transposée dans l'article 82 de la Loi informatique et libertés - qui prévaut (et requiert le consentement dans les conditions définies par le RGPD). Et celle-ci s'applique indépendamment du fait que les données soient à caractère personnel ou pas (anonymes donc). C'est rappelé dans les lignes directrices cookies de juillet 2019 établies par la CNIL (art 1) :
Le fait que les informations (stockées et/ou consultées) soient ou non des données à caractère personnel au sens du RGPD n’est pas une condition préalable à l’application de l’article 5, paragraphe 3 de la directive 2002/58/CE. Par conséquent, l’article 82 précité s’applique indépendamment du fait que les données concernées soient à caractère personnel ou non.
La question qui se pose est donc : est-ce que cela rentre dans le cadre des exemptions de recueil de consentement, qui s'appliquent si la lecture / écriture d'information (art. 82 de la loi informatique et libertés) :
1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.
Et rien ne semble à priori valider l'une de ces hypothèses dans le cas de figure que vous soumettez.
Le consentement est à mon sens requis
... sauf à ce que la CNIL considère, au même titre que pour la mesure d'audience, que ces opérations de lectures peuvent (cf. art 5 des lignes directrices) :
dans certains cas, être regardés comme nécessaires à la fourniture du service explicitement demandé par l’utilisateur, sans présenter de caractère particulièrement intrusif pour ceux-ci
A soumettre dans la consultation publique cookies actuellement menée par la CNIL ?
Bonjour,
Tout d’abord, il est important de rappeler que la notion de données à caractère personnel telle que définie dans le RGPD est très large (tel qu’expliqué à la fiche n°1). En conséquence, il n’est pas assuré que les données que vous remontiez lors de rapport de crash soient forcément anonymes, même si elles sont purement techniques. De plus, les données remontées peuvent parfois contenir des informations très identifiantes, par exemple si elles contiennent des dump mémoires, des identifiants matériels et de l’utilisateur, etc. Pour cette seule raison, obtenir le consentement avant l’envoi du rapport vous offre une plus grande sécurité juridique, même si d’autres bases légales que le consentement pourraient permettre de traiter ces données.
Au demeurant, comme expliqué par @yvesb, ce type de remontée de données reposant sur l’accès à des informations du terminal de l’utilisateur est soumis à la transposition de la directive ePrivacy (article 82 de la loi I&L), qui requiert forcément le consentement sauf dans un ensemble de cas très restreints. Celui que vous proposez ne semble pas en faire partie.
En conséquence, nous vous conseillons d’obtenir le consentement lors de la création du rapport de crash, ce qui est de toute façon une pratique classique et bien comprise des utilisateurs.
En espérant avoir répondu à votre question,
Bonne journée !
Bonjour,
Merci pour votre réponse, la demande de consentement est donc obligatoire, d'ailleurs Apple aussi le demande pour les rapports de crash système, et en demande un deuxième pour partager (via leur plateforme) "avec les développeurs tiers" les rapports de crash de leurs apps.