Données personnelles : la Cnil et l’Inria sur les traces de nos smartphones

Depuis fin 2011, la Cnil (Commission nationale Informatique et Libertés) et l’Inria (Institut national de recherche en informatique et automatique) [1] travaillent ensemble pour analyser en profondeur les données enregistrées, stockées et diffusées par nos smartphones. Dans le cadre d’un projet de recherche & développement, baptisé « Mobilitics », leurs équipes ont développé, dans un premier temps, un outil capable de détecter et d’enregistrer les accès des applications ou programmes internes du téléphone à nos données personnelles (géolocalisation, photos, carnet d’adresses, identifiants du téléphone, etc.). Cet outil, qui a nécessité un an de développement, concerne, pour l’instant, le seul système d’exploitation mobile d’Apple (iOS). Dans les semaines à venir, il pourra analyser le système d’exploitation de Google (Android).

Cet outil d’analyse a donc été installé sur six iPhone appartenant au laboratoire d’innovation de la Cnil, que des volontaires de l’organisme ont accepté, durant trois mois, d’utiliser comme s’ils leur appartenaient. La Cnil et l’Inria ont publié, le 9 avril dernier, le bilan de leurs recherches [2]. Résultats : sur les 189 applications utilisées, neuf sur 10 accèdent à Internet « sans une information claire des utilisateurs, et sans réelle justification ». Presque un tiers des applications ont utilisé la géolocalisation, ce qui correspond à quelque 41 000 événements de géolocalisation pour six personnes en 90 jours, soit en moyenne 76 événements, par volontaire et par 24 heures. C’est donc la donnée la plus « intensément consommée » par les smartphones, précise le communiqué des deux organismes. « De façon délibérée, par facilité ou en raison d’une erreur de développement, cela conduit à une permanence des accès à la localisation par une pléiade d’applications », estime la Cnil.

Utilisateurs « pistés »

Autre constat, les développeurs d’applications captent massivement des données leur permettant de tracer les utilisateurs, notamment à des fins publicitaires. De nombreuses applications récupèrent, en effet, l’identifiant unique du téléphone (UDID), qui est intégré dès l’achat à l’appareil par Apple et ne peut pas être modifié par l’utilisateur. Concrètement 87 applications sur les 189 utilisées ont accédé à l’UDID, soit près de 50% et 33 l’ont transmis en clair, plusieurs fois durant l’expérimentation. La Cnil cite ainsi l’exemple de l’application d’un quotidien qui a accédé 1989 fois à l’identifiant unique du téléphone et l’a transmis 614 fois à l’éditeur de l’application, au cours des trois mois du test.
Conscient de ce problème, la « firme à la pomme » a annoncé que, prochainement, les développeurs ne pourront plus accéder à cette information. Mais de nouveaux identifiants dédiés au ciblage publicitaire ont été introduits.

Quel contrôle des données ?

Ainsi, la question de la loyauté de la collecte et du contrôle de l’usage des identifiants demeure et se renforce avec « l’utilisation de plus en plus massive des cookies au sein de l’écosystème des applications mobiles ». De plus, contrairement aux cookies enregistrés sur le disque dur d’un ordinateur, l’utilisateur n’a pas les moyens techniques de les supprimer, tant au niveau du smartphone que de ses applications.

Enfin, cette étude de la Cnil et d’Inria a démontré que de nombreux acteurs tiers sont destinataires de nos données, par l’intermédiaire de cookies spécifiques, d’outils d’analyse, de développement ou de monétisation présents dans les applications. On y retrouve les acteurs classiques du traçage en ligne, ainsi que des acteurs nouveaux dédiés au mobile.

Globalement, de cette enquête, s’impose la nécessité de responsabiliser l’ensemble des acteurs de cet écosystème. Les développeurs d’application doivent intégrer dès le départ les problématiques Informatique et Libertés dans une démarche de privacy by design. Les acteurs tiers qui fournissent des services et des outils aux développeurs doivent collecter loyalement les données nécessaires (information/consentement du développeur et de l’utilisateur final). Et les magasins d’application inventer des modes innovants d’information des utilisateurs et de recueil du consentement.

Il est clair que les paramètres et réglages présents dans les systèmes d’exploitation de smartphones sont insuffisants.

Au regard de ces constats, la Cnil et Inria ont développé, à titre expérimental, des réglages qui pourraient être proposés par les fournisseurs de systèmes d’exploitation. En ce sens, le projet « Mobilitics » a également pour ambition de favoriser par la suite des innovations et des nouveaux services durables, protecteurs des droits des utilisateurs. La Cnil et Inria vont ainsi poursuivre leurs recherches dans ce cadre, ce qui permettra aussi de suivre dans le temps les progrès accomplis par l’ensemble des acteurs.