Les applis mobiles dans le collimateur de la Cnil
L'expérimentation menée par la Cnil et l'Inria sur six smartphones montre que certaines applis mobiles accèdent à des données sans lien direct avec une action de l'utilisateur ou un service offert par l'application, et représentent une menace potentielle pour la protection de la vie privée.
9 Go de données récoltées, 7 millions d'événements à analyser dans la base de données, 189 applications utilisées, 41 000 événements de géolocalisation, soit 76 événements par jour et par volontaire... La Cnil (1) et l'Inria (2) ont analysé les données enregistrées, stockées et diffusées par les smartphones d'Apple. L'expérimentation "in vivo" a porté sur six smartphones uniquement : pendant trois mois, des volontaires de la Cnil ont utilisé ces iPhones au quotidien.
Sur les 189 applications utilisées, il apparaît que plus de 9 applications sur 10 accèdent à Internet alors que cela ne se justifie pas forcément. Certains éditeurs s'en servent pour envoyer des cookies... comme sur un ordinateur. Quelques applications utilisées accèdent à la grande majorité des données "avec une intensité qui semble dépasser le seul besoin des fonctions de ces applications". Certaines accèdent à des données sans lien direct avec une action de l'utilisateur ou un service offert par l'application (récupération de l'identifiant unique, du nom de l'appareil, de la localisation).
Le détail des résultats :
93% des applis utilisées accèdent au réseau
46% à l'UDID
31% à la géolocalisation
16% au nom de l'appareil
10% à des comptes
8% au carnet d'adresses
2% au compte Apple
2% au calendrier
Lire aussi : Android poursuit sa percée
Démarré fin 2011, le projet de recherche et développement, Mobilitics, a consisté à développer un outil capable de détecter et d'enregistrer les accès à des données personnelles par des applications ou programmes internes du téléphone (accès à la localisation, aux photos, au carnet d'adresses, à des identifiants du téléphone). La Cnil et l'Inria travaillent d'ores et déjà sur un outil similaire pour Android.
En savoir plus : lire le point de vue de Renaud Ménérat, président de UserADgents sur l'étude de la Cnil et de l'Inria
Il incombe à chaque acteur de l'écosystème des smartphones de respecter l'ensemble des règles applicables en matière de protection des données :
- les développeurs d'application doivent intégrer dès le départ les problématiques Informatique & Libertés dans une démarche de privacy by design. La CNIL souhaite développer l'accompagnement des acteurs à cette fin. Plusieurs équipes Inria travaillent sur la protection de la vie privée et la société de l'Information, et notamment sur des systèmes/architectures privacy by design.
- les magasins d'application doivent inventer des modes innovants d'information des utilisateurs et de recueil du consentement. La situation actuelle, binaire, du " à prendre ou à laisser " n'est pas satisfaisante.
- les paramètres et réglages présents dans les systèmes d'exploitation pour smartphones sont insuffisants. Un contrôle plus fin pourrait être proposé sans pour autant dégrader l'expérience utilisateur. Dans le cadre du projet Mobilitics, la CNIL et Inria ont développé, à titre expérimental, une démonstration des réglages qui pourraient être proposés par le fournisseur du système d'exploitation.
- les acteurs tiers qui fournissent des services et des outils aux développeurs ne doivent collecter que les données nécessaires et ce, en toute transparence, vis-à-vis du développeur et par voie de conséquence vis-à-vis de l'utilisateur final.
(1) Cnil : Commission nationale de l'informatique et des libertés
(2) Inria : Institut national de recherche en informatique et en automatique
A lire aussi sur le sujet de la protection des données à caractère personnel : Bruxelles, veut-elle la peau du marketing direct ?
Sur le même thème
Voir tous les articles Data