La CNIL, conjointement avec l'Institut national de recherche en informatique et en automatique (INRIA), s'est penchée sur les données enregistrées par les smartphones et leurs applications. Un sujet sensible quand on connait les nombreux abus constatés dans ce secteur ces dernières années.
Début de la liste des données accessibles à une application (ici sur Google Play).
189 applications analysées
Depuis près d'un an, la CNIL et l'INRIA se sont donc intéressés de près au sujet. Un outil spécifique nommé Mobilitics a été créé pour l'occasion. « Le projet Mobilitics a consisté à développer un outil capable de détecter et d'enregistrer les accès à des données personnelles par des applications ou programmes internes du téléphone (accès à localisation, aux photos, au carnet d'adresses, à des identifiants du téléphone, etc.) » résume la CNIL.
Développé durant un an, Mobilitics a été installé sur six iPhone appartenant au laboratoire de la CNIL. 189 applications ont ainsi été testées, et 9 Go de données ont été récoltées, le tout sur une période de trois mois. Une version Android sera disponible dans les semaines à venir, permettant ainsi à la CNIL de compléter sa recherche.
De la géolocalisation au carnet d'adresses
Concernant les 189 applications iOS, la CNIL a ainsi relevé que la plupart (93 %) accèdent à internet. Si pour certaines, cet accès est légitime afin d'obtenir des informations sur le web, la Commission note que cela ne se justifie pas toujours, notamment pour les jeux. 46 % des applications ont pu obtenir l'identifiant unique de chaque appareil, près d'un tiers des applications ont un accès à la géolocalisation, 16 % obtiennent le nom de l'appareil et 8 % accèdent au carnet d'adresses..
Au total, la CNIL a comptabilisé « près de 41 000 événements de géolocalisation pour 6 personnes en 90 jours, soit une moyenne de 76 événements par volontaire par 24 heures». Il s'agit, et de loin, de la donnée la plus consommée. La CNIL rajoute que certaines applications « sont à l'origine des accès à la grande majorité des données, avec une intensité qui semble dépasser le seul besoin des fonctions de ces applications ». Et sans surprise, de nombreuses applications accèdent à des données qui n'ont aucun rapport avec les services proposés. La plupart des applications pour fonctionner n'ont d'ailleurs pas besoin de votre carnet d'adresses, du nom de l'appareil ou de la géolocalisation.
Bien sûr, pour des raisons publicitaires, nous pouvons imaginer qu'une société souhaite accéder à certaines données qui ne sont pas nécessaires à l'application. Néanmoins, de nombreuses questions peuvent être posées quant aux abus constatés dans ce marché, ceci que ce soit sur l'App Store ou les autres plateformes.
La CNIL fait d'ailleurs remarquer que ces collectes de données à première vue inutiles le sont souvent pour des intermédiaires économiques. « De nombreux acteurs tiers sont destinataires de données, par l'intermédiaire d'outils d'analyse, de développement ou de monétisation présents dans les applications. Les analyses permettent d'identifier plusieurs acteurs recevant des informations récupérées par l'intermédiaire de cookies spécifiques aux applications. Les acteurs classiques du traçage en ligne sont déjà très présents au sein de certaines applications mais les chiffres montrent également l'émergence d'acteurs nouveaux dédiés au mobile. »
Tout le monde doit y mettre du sien
Afin d'éviter une trop grande propagation des données et donc une mauvaise exploitation de celles-ci, la CNIL conseille aux développeurs de penser leurs applications en prenant en compte les problématiques des données et des libertés. Mais les plateformes intermédiaires (App Store, Google Play, etc.) ont aussi un rôle à jouer. La CNIL estime d'ailleurs que la situation actuelle (du tout ou rien) n'est pas acceptable. « Les magasins d'application doivent inventer des modes innovants d'information des utilisateurs et de recueil du consentement. »
Outre les développeurs et les magasins d'applications, la Commission note que les smartphones peuvent aussi améliorer la situation via leurs réglages. « Un contrôle plus fin pourrait être proposé sans pour autant dégrader l'expérience utilisateur » fait remarquer la CNIL, qui rajoute avoir mis en place à l'aide de l'INRIA une liste de réglages qui pourraient être offertes dans les OS mobiles.
Enfin, « les acteurs tiers qui fournissent des services et des outils aux développeurs ne doivent collecter que les données nécessaires et ce, en toute transparence, vis-à-vis du développeur et par voie de conséquence vis-à-vis de l'utilisateur final » termine la CNIL.
Commentaires (21)
#1
« près de 41 000 événements de géolocalisation pour 6 personnes en 90 jours, soit une moyenne de 76 événements par volontaire par 24 heures»
Je serai curieux de connaitre les proportions de développeurs/éditeurs qui le font consciemment et volontairement. Ils ne sont sûrement pas toujours super au courant de ce que font les APIs tierces non plus.
#2
doublon
#3
Une version Android sera disponible dans les semaines à venir, permettant ainsi à la CNIL de compléter sa recherche.
vivement car c’est carrément la fête sur android
un peu de ménage va faire du bien
#4
Bof pour bosser dedans, ce qui utilise le plus la géoloc c’est dès que l’on colle un SDK de pub.
C’est pas une donnée qui va être utilisé très souvent par l’éditeur (sauf dans certains cas par exemple avec AlloCiné pour les ciné près de là où vous êtes), mais pour la pub c’est une donnée qui permet d’avoir un Inpact non négligeable sur le prix donc les éditeurs ont assez vite fait leur choix à ce sujet.
Concernant l’usage de l’UDID Apple l’avait interdit l’an passé suite à une menace de class action aux USA et a partir du premier mai toute application utilisant l’UDID sera rejeté.
Je suis surpris du nombre qui accèdent au nom de l’appareil, j’ai du mal à voir l’intérêt de cette donnée (ou alors c’est pour mesurer combien de personnes partagent un compte iTunes pour télécharger le même contenu non consomable sur plusieurs terminaux ? )
#5
Le CNIL épingle, mais concrêtement, ça va changer quoi ?
#6
Soyons sérieux : les utilisateurs veulent du gratuit. Ils ont ce qu’ils ont demandé !
#7
#8
on va bien rigoler quand la CNIL va regarder sur android
#9
#10
#11
Tu voulais qu’ils testent Cydia ?
" />
Sinon “trop indiscrètes”… par rapport aux sites internet qui geolocalisent dans 100% des cas, c’est pas mal
Le reste étant anecdotique car soumis à l’autorisation de l’utilisateur.
#12
Sur Android ca va être effectivement la fête. Mais il ne faut pas oublier qu’il y a aussi des applications prévues pour remplacer une/des applications internes.
Donc si ils testent des applications de remplacement de calendrier, si c’est ensuite pour dire “OMG 90% des apps Android accèdent aux calendriers !” cà fera un peu tâche…
L’idéal serait de faire des tests par catégories… et en particulier la catégorie “Jeux” qui, théoriquement, n’a pas besoin des contacts, du calendrier, etc.
#13
#14
La pub, c’est bien : mangez-en !
En plus, ça fait vivre des gens alors ils devraient avoir tous les droits sur notre vie privée…
#15
Bonne initiative
" />
#16
#17
#18
#19
#20
Bof. Les applications android ca doit être pareil.
" /> La CNIL? Ca existe encore ce truc?
#21
Bonne initiative, mais ça serait mieux de rendre ça disponible.
Afin que chacun puisse installer ça sur son iPhone / Android et constater quelle application fuite et si celle(s)-ci lui est(sont) indispensable(s).
Même si effectivement, les réglages bien affinés dans la plupart des cas suffiront aux “paranos” :-)