Données personnelles (...)

Données personnelles : applications, la course à l’identification

La « saison 2 » de l’enquête menée par la Cnil et l’Iria sur la collecte des données personnelles confirme l’indiscrétion des applications. Les identifiants et données de géolocalisation des utilisateurs de smartphones sont massivement récupérées à des fins de ciblage marketing, notamment.

En France, les utilisateurs de smartphones et de tablettes installent en moyenne une trentaine d’applications sur leur appareil.

Les modèles économiques de ces services sont généralement fondés sur la collecte et la monétisation des données personnelles à des fins publicitaires par des tiers, ainsi que sur l’intégration de publicités à travers des achats « in app ».

C’est pourquoi depuis 2011, la Cnil et l’Inria, institut de recherche public dédié aux sciences du numérique, travaillent sur un projet de recherche et d’innovation baptisé « Mobilitics ».

Objectif : mieux connaître les smartphones, « véritables boîtes noires pour les utilisateurs, les chercheurs et les autorités de régulation » . Dans le cadre de ce partenariat, l’équipe de recherche « Privatics » de l’Inria a conçu un outil capable de détecter les accès aux données personnelles stockées dans les smartphones (localisation, photos, carnet d’adresses, ...). Ainsi, après une première vague de tests en 2013, limités au seul système d’exploitation mobile d’Apple (iOS) , les deux organismes se sont penchés sur l’Android de Google, au cours de l’été 2014. Constat global : les résultats de Mobilitics « saison 2 » pour Android confirment les premières analyses pour iOS : la collecte massive des identifiants et des données de géolocalisation des utilisateurs .

La course à l’identification de l’utilisateur

Les applications accèdent à bon nombre d’identifiants techniques, matériels ou logiciels du smartphone pour des besoins qui leurs sont propres dont la constitution de profils publicitaires. Ainsi, sur iOS et sur Android, respectivement 46% et 34% des applications testées ont accédé à l’identifiant unique du téléphone . C’est pourquoi, Apple et Google limitent désormais techniquement l’accès à l’identifiant unique du smartphone. Mais, dans le même temps, les deux systèmes d’exploitation ont mis à disposition d’autres identifiants dédiés à la publicité . Aujourd’hui, les utilisateurs ont donc la possibilité de limiter le suivi publicitaire. A condition d’être motivés pour effectuer les réglages ! En pratique, sur les iPhones, il faut se rendre dans les réglages de confidentialité, puis accéder à l’option « publicité » et activer le « suivi publicitaire limité » et, sur Android, aller dans l’application « Paramètres Google » et activer l’option « désactiver annonces par centres d’intérêt ».

Toutefois, la coexistence de nombreux identifiants facilite en réalité le contournement de ce type de cloisonnement. Dès lors, « aucune protection ’ privacy by design’ ne peut s’avérer techniquement efficace et, en dehors des garanties juridiques, seule la bonne volonté des développeurs permet de garantir qu’ils ne contournent pas les réglages mis en œuvre par les utilisateurs pour limiter le ciblage publicitaire ». Sur le téléphone Android d’un utilisateur qui avait installé 58 applications, les équipes ont ainsi détecté que 23 applications accédaient à l’identifiant unique et 18 au code IMEI (permettant notamment de bloquer un terminal perdu ou volé en l’empêchant de se connecter aux réseaux des opérateurs). Des applications ont aussi pu atteindre l’adresse Mac du téléphone, utilisée lors de toutes les communications entre un terminal et un point d’accès Wifi, ou même à l’identifiant unique de la carte SIM (ICCID) et à la liste des identifiants des points d’accès Wifi.

Géolocalisation à outrance des smartphones

Autre confirmation de l’étude, entre un quart et un tiers des applications présentes sur les différents appareils, que ce soit sous iOS ou Android, ont eu accès à la localisation du smartphone. « En volume, la géolocalisation est aussi la donnée la plus collectée : elle représente à elle seule plus de 30% des évènements détectés, sans être toujours liée à des fonctionnalités offertes par l’application ou à une action de l’utilisateur », révèle l’étude. Si ce chiffre était prévisible (de nombreux services sont liés aux données de localisation), en revanche, l’intensité et la fréquence des accès à cette information par certaines applications sont plutôt surprenantes. Ainsi, une application de réseau social a accédé 150 000 fois en trois mois à la localisation d’un des testeurs de la Cnil, soit un accès en moyenne par minute. Or, ce type d’application devrait disposer de la donnée de géolocalisation uniquement lorsque l’on souhaite utiliser un service lié à sa localisation. L’accès quasi-permanent à cette information, et ce, sur une longue période est disproportionné et constitue une source de risques pour la personne concernée.

En ce sens, d’autres travaux de recherche ont notamment montré qu’une base de données de localisation permettait de déduire des informations détaillées sur les habitudes et modes de vie des personnes : lieux de vie et de travail, sorties, loisirs, mobilités, mais aussi éventuellement fréquentation d’établissements de soins ou de lieux de culte...

Enfin, l’étude dévoile également les problématiques liées aux applications natives. Ainsi, l’application Play Store est l’une des plus grosses consommatrices de données avec 1 300 000 accès à la localisation cellulaire en trois mois, 290 000 accès au GPS, 196 000 scan du Wifi et plusieurs milliers d’accès à d’autres données.

Une situation qui a amené la Cnil, à l’instar des autres autorités de contrôle européennes, à inviter tous les acteurs de l’écosystème (éditeurs d’application, éditeurs des systèmes d’exploitation et responsables des magasins d’applications, tiers fournisseurs de services et d’outils) à « prendre la juste mesure de leurs responsabilités respectives pour améliorer l’information et les outils de maîtrise des données personnelles ».

Par Nicolas Samarcq, juriste Informatique et Libertés

deconnecte