D’iOS à Android : des applications mobiles indiscrètes selon la CNIL
La CNIL dénonce la tendance des éditeurs d’applications mobiles à collecter les données personnelles des utilisateurs sans nécessairement répondre à des besoins légitimes.
Les accès aux données personnelles par des applications pour smartphones restent à la fois massifs et peu visibles pour les utilisateurs, sans nécessairement servir des besoins légitimes.
C’est l’un des principaux constats mis en avant par la CNIL dans le 8e numéro de sa lettre « Innovation & Prospective » (document PDF, 4 pages). La commission rend les conclusions d’une étude menée entre juin et septembre 2014 avec l’Inria dans le cadre du projet Mobilitics, lancé en 2012 pour évaluer la conformité des applications mobiles vis-à-vis des réglementations en matière de protection de la vie privée.
Après une première vague consacrée à l’écosystème Apple iOS, l’enquête s’est portée sur la plate-forme Google Android. Pendant trois mois, plusieurs agents de la CNIL ont utilisé, à la place de leur téléphone personnel, un smartphone équipé d’un agent logiciel qui a examiné le comportement de 121 applications « parmi les plus populaires en France ».
D’iOS à Android, la tendance des développeurs et des éditeurs d’applications à recourir à des stratégies d’identification aux objectifs très divers (mesures d’audience, statistiques d’utilisation, monétisation et publicité…) est toujours aussi forte. Par ailleurs, il reste globalement très difficile de corréler les accès aux données avec des actions de l’utilisateur ou des fonctionnalités à valeur ajoutée.
Plus de la moitié des applications sondées accèdent au moins à un identifiant technique, matériel ou logiciel, souvent pour constituer des profils publicitaires. Elles sont 34 % à récupérer l’ID du terminal ; 20 % consultent l’IMEI ; 23 % vérifient le nom de l’opérateur réseau ; 5 % jettent même un coup d’œil à l’identifiant de carte SIM (ICCID).
iOS, Android : un traitement égal
Mais ce sont bien les données de géolocalisation qui restent les plus prisées : elles sont les plus collectées en volume (plus de 30 % des événements détectés). Ce qui surprend la CNIL, c’est la fréquence des accès : toutes les minutes en moyenne pour une application de réseau social… et plus d’un million de fois en trois mois pour le Play Store de Google.
Les informations de géolocalisation sont parfois collectées via d’autres méthodes, comme la consultation des points d’accès Wi-Fi situés à proximité du smartphone. A noter que 17 % des applications accèdent aussi au carnet d’adresses ; 3 %, au calendrier ; 6 %, au numéro de téléphone. Des éléments à mettre en parallèle avec ceux relevés sur iOS entre novembre 2012 et janvier 2014 : 46 % des applications avaient accédé à l’identifiant de l’iPhone ; 31 %, à la géolocalisation ; 8 %, aux listes de contacts ; 2 %, à l’agenda.
L’enjeu est d’autant plus important sur Android, qui est, d’après la CNIL, embarqué sur 66 % des smartphones en circulation en France. Et la commission de réitérer, conformément aux recommandations émises l’année passée par le G29, son appel à l’ensemble des acteurs de l’écosystème.
Éditeurs d’applications et de systèmes d’exploitation, responsables des magasins d’applications, tiers fournisseurs de services et d’outils : tous sont invités à « prendre la juste mesure de leurs responsabilités respectives pour améliorer l’information et les outils de maîtrise des données personnelles […] sans s’abriter derrière des contraintes techniques ».
La Commission nationale de l’informatique a déjà déploré à de nombreuses reprises, ces dernières années, les excès en matière de collecte et d’exploitation de données personnelles. En mai dernier, elle a participé, aux côtés de plusieurs autorités nationales compétentes en matière de protection des données et réunies au sein du GPEN (Global Privacy Enforcement Network), à l’Internet Sweep Day.
Cette action concertée, dont le périmètre s’était étendu à 1200 applications, avait permis de mettre en lumière de multiples manquements : clauses contractuelles partiellement traduites de l’anglais, CGU présentant des imprécisions sur la transmission de données à des tiers, etc.
—— A voir aussi ——
Quiz ITespresso.fr : saurez-vous décrypter le langage technico-marketing des smartphones et des tablettes ?
Crédit illustration : MakC – Shutterstock.com