Aller au contenu
Studio’IQappsDiscuter d’un projet

Conformité · 8 min de lecture

RGPD et application mobile : la checklist complète

Bases légales, hébergement UE, politique de confidentialité, App Tracking Transparency, purge des données : tout ce qu’une app conforme doit prévoir dès la conception.

Mis à jour le 1 juillet 2026 par Thibaud Lescroart, Studio'IQ

Le RGPD se joue à la conception, pas à la fin

« Privacy by design » n’est pas un slogan : c’est une obligation légale (article 25 du RGPD). Concrètement, chaque écran qui collecte une donnée doit avoir une réponse à trois questions : pourquoi cette donnée (finalité), sur quel fondement (base légale), et pour combien de temps (durée de conservation). Rattraper ces réponses après le développement coûte toujours plus cher que de les poser avant.

La checklist technique

Voici les points que nous vérifions sur chaque application livrée :

  • Minimisation : ne collecter que le nécessaire. Une app de signalement communal peut fonctionner sans aucun compte (authentification anonyme).
  • Hébergement dans l’Union européenne : base de données, fichiers et fonctions serveur localisés en UE (régions Paris/Francfort chez la plupart des fournisseurs).
  • Chiffrement en transit (TLS) et au repos, et cloisonnement des données entre clients pour les apps multi-organisations.
  • Purge automatique : les données qui n’ont plus de raison d’être conservées sont supprimées par le système, pas « quand quelqu’un y pense ».
  • Droits des personnes : consultation, rectification, suppression du compte directement dans l’app (Apple exige d’ailleurs la suppression de compte in-app depuis 2022).
  • Registre des traitements et contrats de sous-traitance (DPA) signés avec chaque prestataire technique (hébergeur, push, paiement).

Les exigences propres aux stores

Apple et Google ajoutent leur propre couche. Sur l’App Store : les étiquettes de confidentialité (« privacy nutrition labels ») détaillant chaque donnée collectée, et le fameux App Tracking Transparency : si vous traquez l’utilisateur à des fins publicitaires, une popup système doit demander son accord explicite. Sur Google Play : le questionnaire « Sécurité des données », public sur la fiche.

Une politique de confidentialité accessible par URL est obligatoire sur les deux stores, même pour une app qui collecte très peu. Elle doit être spécifique à l’app, pas un copier-collé du site vitrine.

Le cas particulier des collectivités et des CSE

Une mairie traite des données dans le cadre d’une mission d’intérêt public : signalements géolocalisés, demandes de contact. Un CSE manipule des données de salariés, parfois sensibles (situation familiale pour les subventions). Dans les deux cas, l’anonymisation par défaut, des rôles d’accès stricts côté administration et un rapport de traitement régulier ne sont pas du luxe : ce sont les conditions pour que le projet passe sereinement devant un conseil municipal ou un DPO d’entreprise.

Questions fréquentes

Faut-il une bannière cookies dans une application mobile ?
Pas une bannière « cookies » au sens web, mais un recueil de consentement équivalent si l’app utilise des traceurs à des fins non essentielles (analytics publicitaires, tracking). Sur iOS, App Tracking Transparency impose sa propre popup système.
Peut-on utiliser Firebase ou Supabase en restant conforme RGPD ?
Oui, en choisissant des régions d’hébergement UE, en signant les DPA proposés par ces fournisseurs, et en documentant les transferts éventuels. Le choix de la région se fait à la création du projet, encore un point qui se joue avant la première ligne de code.