Données privées : 50 % des applications mobiles n’informent de rien

La CNIL accompagnée de dix-neuf autres consœurs du monde entier ont réalisé il y a trois mois une analyse complète de 2180 sites web et applications mobiles parmi ceux générant le plus d'audience. Et le constat est alarmant, avec un site sur cinq qui ne donne strictement aucune information sur sa façon de protéger les données qu'il collecte. Un rapport qui passe à un sur deux pour les applications mobiles.

Pas d'informations du tout, ou pas assez claires

Pour la CNIL et ses dix-neuf homologues, la situation actuelle en matière de communication des données privées est catastrophique. Avec 20 % des sites étudiés et 50 % des applications mobiles analysées ne donnant aucune information sur leur politique de protection des données collectées, les risques d'abus sont immenses. Et pour ceux prenant la peine d'informer leurs utilisateurs, les politiques de protections des données « sont parfois trop généralistes ou, à l'inverse, trop focalisées sur un seul aspect technique, comme par exemple celui des " cookies " » note la CNIL.

Bien entendu, ne pas communiquer ou mal informer ses visiteurs sur ce sujet ne signifie pas nécessairement qu'il y a des abus des données. Néanmoins, le risque est décuplé, car si un site ou une application ne prend même pas la peine d'informer ses visiteurs sur un sujet aussi sensible, il est tout à craindre de leur exploitation des données. D'autant plus que pour certaines applications mobiles, la quantité de données collectées est gigantesque et particulièrement précise.

Du point de vue de la CNIL, ce manque de communication est plus que gênant, dès lors que « les informations délivrées ne mentionnent pas certains éléments essentiels comme les finalités poursuivies par la collecte des données, l'existence ou non d'un transfert de ces données vers des tiers ou encore l'existence de droits au bénéfice des personnes dont les données sont traitées ».

Des informations noyées dans les CGU

Et sans surprise, quand il y a une communication sur l'utilisation des données, ces informations sont en quelque sorte noyées dans les conditions générales d'utilisation (CGU) des sites et des applications, ce qui ne facilite en rien la situation. « Ce faisant, leur accessibilité, et donc leur utilité pour l'internaute soucieux d'être informé du devenir de ses données, est largement théorique. »

Cette critique nous rappelle celle de la CNIL envers les nouvelles règles de confidentialités de Google. Ce dernier affirmait en effet que ses règles étaient simplifiées, équilibrées, ceci pour le bien de l'internaute. La CNIL, elle, les trouvait au contraire compliquées : « Cette évolution ne doit pas se faire au prix d’une information moins transparente et moins complète. (...) La fusion des règles de confidentialité des services de Google rend impossible la compréhension des données personnelles collectées, des finalités, des destinataires et des droits d’accès pertinents pour chaque service. » Des propos qui datent du mois de l'année 2012 et qui pourraient donc être répliqués pour bien des services en ligne à en croire la Commission.

Malgré ce constat alarmiste, il faut tout de même noter que de bonnes pratiques ont été constatées sur certains sites, ceci grâce à des FAQ claires, lisibles et « didactiques » notamment. De plus, plusieurs sites n'hésitent pas à proposer des contacts spécifiques afin de répondre aux questions de leurs visiteurs vis-à-vis de la protection des données personnelles. Néanmoins, les différentes commissions ne précisent pas le taux de sites que l'on peut qualifier de bons élèves.

Les sites français meilleurs élèves, mais...

Enfin, concernant les sites français, 250 d'entre eux ont été analysés par la CNIL. La quasi-totalité (99 %) collecte des données personnelles, et le constat décrit au niveau mondial est peu ou prou équivalent au bilan français. Près de la moitié des sites et applications mobiles audités ne permettent pas à leurs visiteurs d'accéder facilement aux informations dont ils ont besoin quand celles-ci sont fournies. « Sur le fond, cette information n'a pas été considérée comme suffisamment claire et compréhensible pour près d'un tiers des sites audités. » Pire encore, certains sites destinés pourtant à un public francophone ne décrivent leur politique qu'en anglais.

Néanmoins, bonne nouvelle malgré tout, l'autorité administrative note que « moins de 10 % seulement des sites web audités ne fournissent pas d'information sur leur politique de protection des données », soit deux fois moins qu'au niveau mondial. Si d'autres pays sont équivalents, voire supérieurs à la France, cela signifie donc que certains territoires affichent des taux importants de sites n'informant aucunement sur leur politique de protection des données. De quoi craindre le pire.

La CNIL précise qu'elle et ses dix-neuf homologues du monde entier ne se sont pas contentés de réaliser des constats. Certains sites, qui manquent de façon évidente à la loi « informatique et libertés », ont ainsi été contactés afin qu'ils modifient leur communication sur leur politique de données personnelles. « À défaut, les procédures contraignantes prévues par la loi pourront être utilisées par la CNIL. » Les voilà prévenus.