Données personnelles : applications, la course à l’identification


Droit


19 février 2015

La « saison 2 » de l’enquête menée par la Cnil et l’Iria sur la collecte des données personnelles confirme l’indiscrétion des applications. Les identifiants et données de géolocalisation des utilisateurs de smartphones sont massivement récupérées à des fins de ciblage marketing, notamment.

En France, les utilisateurs de smartphones et de tablettes installent en moyenne une trentaine d’applications sur leur appareil.

Les mode ?les e ?conomiques de ces services sont généralement fondés sur la collecte et la mone ?tisation des donne ?es personnelles a ? des fins publicitaires par des tiers, ainsi que sur l’inte ?gration de publicite ?s a ? travers des achats « in app ».

C’est pourquoi depuis 2011, la Cnil et l’Inria, institut de recherche public dédié aux sciences du numérique, travaillent sur un projet de recherche et d’innovation baptisé « Mobilitics ».

Objectif : mieux connai ?tre les smartphones, « ve ?ritables boi ?tes noires pour les utilisateurs, les chercheurs et les autorite ?s de re ?gulation » . Dans le cadre de ce partenariat, l’e ?quipe de recherche « Privatics » de l’Inria a conçu un outil capable de de ?tecter les acce ?s aux donne ?es personnelles stockées dans les smartphones (localisation, photos, carnet d’adresses, ...). Ainsi, apre ?s une premie ?re vague de tests en 2013, limités au seul système d’exploitation mobile d’Apple (iOS) , les deux organismes se sont penchés sur l’Android de Google, au cours de l’e ?te ? 2014. Constat global : les résultats de Mobilitics « saison 2 » pour Android confirment les premières analyses pour iOS : la collecte massive des identifiants et des données de géolocalisation des utilisateurs .

La course à l’identification de l’utilisateur

Les applications accèdent à bon nombre d’identifiants techniques, matériels ou logiciels du smartphone pour des besoins qui leurs sont propres dont la constitution de profils publicitaires. Ainsi, sur iOS et sur Android, respectivement 46% et 34% des applications testées ont accédé à l’identifiant unique du téléphone . C’est pourquoi, Apple et Google limitent désormais techniquement l’accès à l’identifiant unique du smartphone. Mais, dans le même temps, les deux systèmes d’exploitation ont mis à disposition d’autres identifiants de ?die ?s a ? la publicite ? . Aujourd’hui, les utilisateurs ont donc la possibilité de limiter le suivi publicitaire. A condition d’être motivés pour effectuer les réglages ! En pratique, sur les iPhones, il faut se rendre dans les re ?glages de confidentialite ?, puis acce ?der a ? l’option « publicite ? » et activer le « suivi publicitaire limite ? » et, sur Android, aller dans l’application « Parame ?tres Google » et activer l’option « de ?sactiver annonces par centres d’inte ?re ?t ».

Toutefois, la coexistence de nombreux identifiants facilite en réalité le contournement de ce type de cloisonnement. Dès lors, « aucune protection ’ privacy by design’ ne peut s’ave ?rer techniquement efficace et, en dehors des garanties juridiques, seule la bonne volonte ? des de ?veloppeurs permet de garantir qu’ils ne contournent pas les re ?glages mis en œuvre par les utilisateurs pour limiter le ciblage publicitaire ». Sur le te ?le ?phone Android d’un utilisateur qui avait installe ? 58 applications, les équipes ont ainsi détecté que 23 applications accédaient a ? l’identifiant unique et 18 au code IMEI (permettant notamment de bloquer un terminal perdu ou vole ? en l’empe ?chant de se connecter aux re ?seaux des ope ?rateurs). Des applications ont aussi pu atteindre l’adresse Mac du te ?le ?phone, utilise ?e lors de toutes les communications entre un terminal et un point d’acce ?s Wifi, ou même a ? l’identifiant unique de la carte SIM (ICCID) et à la liste des identifiants des points d’accès Wifi.

Géolocalisation à outrance des smartphones

Autre confirmation de l’étude, entre un quart et un tiers des applications pre ?sentes sur les diffe ?rents appareils, que ce soit sous iOS ou Android, ont eu acce ?s a ? la localisation du smartphone. « En volume, la géolocalisation est aussi la donnée la plus collectée : elle représente à elle seule plus de 30% des évènements détectés, sans être toujours liée à des fonctionnalités offertes par l’application ou à une action de l’utilisateur », révèle l’étude. Si ce chiffre était prévisible (de nombreux services sont liés aux données de localisation), en revanche, l’intensite ? et la fre ?quence des acce ?s a ? cette information par certaines applications sont plutôt surprenantes. Ainsi, une application de réseau social a accédé 150 000 fois en trois mois à la localisation d’un des testeurs de la Cnil, soit un accès en moyenne par minute. Or, ce type d’application devrait disposer de la donnée de géolocalisation uniquement lorsque l’on souhaite utiliser un service lié à sa localisation. L’acce ?s quasi-permanent a ? cette information, et ce, sur une longue pe ?riode est disproportionne ? et constitue une source de risques pour la personne concernée.

En ce sens, d’autres travaux de recherche ont notamment montre ? qu’une base de donne ?es de localisation permettait de de ?duire des informations de ?taille ?es sur les habitudes et modes de vie des personnes : lieux de vie et de travail, sorties, loisirs, mobilite ?s, mais aussi e ?ventuellement fre ?quentation d’e ?tablissements de soins ou de lieux de culte...

Enfin, l’étude dévoile également les problématiques liées aux applications natives. Ainsi, l’application Play Store est l’une des plus grosses consommatrices de donne ?es avec 1 300 000 accès a ? la localisation cellulaire en trois mois, 290 000 accès au GPS, 196 000 scan du Wifi et plusieurs milliers d’accès à d’autres donne ?es.

Une situation qui a amené la Cnil, à l’instar des autres autorités de contrôle européennes, à inviter tous les acteurs de l’écosystème (éditeurs d’application, éditeurs des systèmes d’exploitation et responsables des magasins d’applications, tiers fournisseurs de services et d’outils) à « prendre la juste mesure de leurs responsabilités respectives pour améliorer l’information et les outils de maîtrise des données personnelles ».

Par Nicolas Samarcq, juriste Informatique et Libertés


Nicolas Samarcq, juriste, consultant en conformité (...)