Consentement aux cookies pour les applications mobiles : Guide de conformité RGPD et CCPA
Quand on parle de consentement aux cookies, les sites web reçoivent toute l'attention. Mais les applications mobiles traitent autant — souvent davantage — de données personnelles que les sites web. Et les règles s'appliquent de manière égale. Le RGPD ne fait pas de distinction entre un cookie de site web et un SDK d'application qui collecte des identifiants de dispositif, des données de localisation ou des identifiants publicitaires.
Comment le consentement mobile diffère du web
Les sites web utilisent des cookies. Les applications utilisent des SDK, des identifiants de dispositif (IDFA/GAID), du stockage local et des appels API. La technologie est différente, mais l'exigence légale est la même : vous avez besoin d'un consentement éclairé et librement donné avant de collecter des données personnelles à des fins non essentielles.
- Sites web : Bandeaux de cookies, Consent Mode, chaînes TCF
- Applications : Boîtes de dialogue de consentement intégrées, invites ATT (iOS), portes d'initialisation des SDK
- Les deux : Doivent obtenir le consentement avant le suivi, doivent permettre le retrait, doivent conserver des enregistrements
Apple ATT versus consentement RGPD
L'App Tracking Transparency (ATT) d'Apple n'est pas la même chose que le consentement RGPD. L'ATT est une exigence de la plateforme Apple — elle contrôle l'accès à l'IDFA. Le RGPD est une exigence légale — il contrôle tout le traitement des données personnelles. Vous avez besoin des deux. Un opt-in ATT ne satisfait pas le RGPD, et le consentement RGPD ne contourne pas ATT.
Ce qui nécessite un consentement dans les applications mobiles
- SDK publicitaires — AdMob, Meta Audience Network, AppLovin
- SDK analytiques — Firebase Analytics, Mixpanel, Amplitude
- SDK d'attribution — Adjust, AppsFlyer, Branch
- Identifiants de dispositif — IDFA (iOS), GAID (Android)
- Données de localisation — GPS, géolocalisation par IP
- Tokens de notification push — lorsqu'ils sont liés aux profils d'utilisateurs
Meilleures pratiques d'implémentation
- Affichez le consentement avant l'initialisation des SDK — ne chargez pas les SDK de suivi tant que l'utilisateur n'a pas consenti
- Fournissez des choix granulaires — les analyses et la publicité doivent être des bascules séparées
- Prise en charge du retrait du consentement — les utilisateurs doivent pouvoir changer d'avis depuis les paramètres de l'application
- Conservez les enregistrements de consentement — maintenez des journaux côté serveur avec des horodatages et la portée du consentement
- Gérez ATT et RGPD séparément — un opt-in ATT seul n'est pas suffisant pour le RGPD
CCPA pour les applications mobiles
Le CCPA/CPRA de Californie s'applique aux applications qui collectent des données auprès des résidents californiens. Contrairement au RGPD, le CCPA utilise un modèle d'opt-out — les utilisateurs peuvent demander que leurs données ne soient pas vendues ou partagées. Votre application a besoin d'un mécanisme "Ne pas vendre ou partager mes informations personnelles".
FlexyConsent pour le mobile
Le JavaScript léger de FlexyConsent fonctionne dans les applications hybrides (Cordova, Ionic, React Native WebView) et sur le web mobile. Pour les applications natives, notre API de consentement fournit les mêmes signaux TCF 2.3 et Consent Mode V2 qui alimentent la solution web.