# Conformité du SDK Didomi (recommandation CNIL) En septembre 2024, la Commission nationale de l'informatique et des libertés (CNIL) a publié un ensemble de recommandations dédié aux applications mobiles. Ces lignes directrices soulignent des attentes strictes en matière de **transparence**, **minimisation des autorisations système**, **documentation des opérations de traitement**, et **preuve d'un consentement valide**. Elles s'appliquent tant aux **éditeurs d'applications** qu'aux **fournisseurs techniques** comme Didomi, agissant en tant que **sous-traitants**. Dans le cadre de ce cadre réglementaire, **Didomi fournit une documentation proactive et structurée** pour accompagner les efforts de conformité de ses clients et pour démontrer la responsabilité de ses SDK mobiles sur toutes les plateformes prises en charge (iOS, Android, frameworks hybrides). #### **Pourquoi cette page ?** En tant que sous-traitant, Didomi est responsable de fournir à ses clients — agissant en tant que responsables de traitement — une documentation claire, à jour et complète : * décrivant les **opérations de traitement effectuées via le SDK** dans les applications mobiles ; * précisant la **qualification juridique** de chaque activité de traitement ; * détaillant les **garanties contractuelles** incluses dans le contrat de traitement des données (DPA) signé. > **Message du DPO de Didomi :** > > *« Cette page a également pour objectif d'aider vos équipes juridiques et vos délégués à la protection des données (DPO) à remplir leurs obligations documentaires (articles 30 et 28 du RGPD), et d'identifier précisément les opérations techniques impliquées dans l'utilisation du CMP Didomi sur mobile », explique Sébastien Gantou.* #### **Conformité : principales mesures de Didomi** Didomi aligne ses pratiques sur les attentes de la CNIL grâce à des mesures techniques et organisationnelles robustes : * Qualification juridique complète des opérations de traitement du SDK, détaillée dans le ROPA * Inventaire exhaustif des opérations de lecture/écriture du SDK (ROPO), comme requis par l'ePrivacy * Aucune utilisation des autorisations au niveau du système d'exploitation mobile par le SDK * Conception modulaire des fonctionnalités (collecte du consentement, preuve, export, analytics, etc.) * Aucun traitement de données personnelles sensibles * Transparence totale sur les transferts internationaux de données et les garanties associées * Architecture de sécurité documentée (TLS, chiffrement, protection des points de terminaison) * Mises à jour régulières de la documentation du SDK et notifications proactives aux clients * Accès à la preuve historique du consentement à tout moment * Procédures en place pour la gestion des incidents et les notifications de violations de données * Registres publics maintenus continuellement et accessibles #### **Transparence : documents disponibles** Pour vous aider à évaluer et documenter votre utilisation du SDK Didomi, nous fournissons deux registres accessibles publiquement : [Registre des activités de traitement des données personnelles (ROPA)](https://business.didomi.io/hubfs/2025-02-14%20-%20ROPA%20RGPD%20-%20SDK%20\(EN\).pdf) [Registre des opérations de traitement des données du SDK (ROPO)](https://business.didomi.io/hubfs/2025-02-14%20-%20ROPO%20eprivacy%20-%20SDK%20\(EN\).pdf) Les deux documents sont structurés conformément aux attentes de la CNIL et mis à jour lors de tout changement significatif.