Données personnelles : la CNIL fustige l’indiscrétion des sites et applications mobiles
A l’issue d’un audit de confidentialité mené au mois de mai, la CNIL rend une conclusion sans appel : plus de 20% des sites et applications mobiles contreviennent à la loi française en matière de protection des données personnelles.
En mai dernier, plusieurs autorités compétentes en matière de protection des données et réunies au sein du GPEN (Global Privacy Enforcement Network) avaient mené une opération conjointe : un audit de confidentialité sur un échantillon de sites Internet et applications mobiles.
Cette action concertée s’est déroulée sur la base d’une grille de critères commune à 20 pays, dont la France – sous la houlette de la Commission nationale de l’informatique et des libertés (CNIL).
Les États-Unis, le Royaume-Uni, l’Australie, l’Allemagne ou encore Hong Kong ont adhéré à la démarche, sous la bannière de cet « Internet Sweep Day » dont les conclusions devaient être publiées en juillet.
Il s’agissait non seulement d’évaluer le respect des règles en matière de protection de la vie privée, mais aussi de contrôler les moyens d’information mis à disposition des utilisateurs pour les éclairer quant à l’exploitation de leurs données.
La CNIL fait aujourd’hui part d’observations sans appel : 20% des sites Web et applications mobiles contreviennent à la loi française en matière de protection des informations personnelles sur Internet.
Les applications mobiles se révèlent encore plus indiscrètes : 50% d’entre elles ne fournissent aucun renseignement sur la manière dont sont traités les profils des utilisateurs.
A l’échelle du Globe, le périmètre d’étude s’est étendu, à 2180 sites et applications parmi les plus visités.
Il n’a englobé, en France, que les 220 sites considérés comme les plus populaires, ainsi que les 30 sites « les plus importants », typiquement ceux en lien avec le service public.
Bien que restreinte, cette analyse a suffi à déceler des faiblesses dans les politiques adoptées par certaines sociétés du Net, dont les CGU présentent des incohérences, avec des clauses contractuelles parfois partiellement traduites de l’anglais…
… Le tout concordant en un défaut d’information du consommateur sur la nature des données collectées, les circonstances de leur communication à des tiers et sur les recours dont l’internaute dispose pour s’opposer à cette transmission.
« Lorsque ces politiques de protection des données existent, elles sont parfois trop généralistes ou, à l’inverse, trop focalisées sur un seul aspect technique, comme par exemple celui des cookies« , ajoute la Commission dans son communiqué.
L’autorité prévoit « des procédures de sanction », mais aussi « une communication globale » destinée à sensibiliser les acteurs de la Toile, jusqu’aux éditeurs d’applications mobiles connectées.
—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos données personnelles sur Internet ?
Crédit photo : Slavoljub Pantelic – Shutterstock.com