Le manque de transparence des applications mobiles pointé par la CNIL

La Commission nationale de l'informatique et des libertés (CNIL), en compagnie de 26 consœurs dans le monde, a analysé 1 211 applications mobiles en mai dernier. Et le bilan n'est pas flatteur puisqu'un nombre très important d'applications ne donnent pas ou trop peu d'informations sur le traitement des données collectées.

« L'insuffisance, voire parfois l'absence, d'une information claire » 

Sauf exception, toutes les applications mobiles demandent avant installation que vous donniez votre autorisation pour exploiter plusieurs types de données. Sur le Play Store de Google, un simple logiciel comme Evernote demande par exemple près d'une dizaine d'accès, dont des données de profil, l'agenda (contacts), la position géographique, l'identifiant de l'appareil, etc. Si certaines applications sont très sages avec un minimum de données, d'autres vont très loin et ne sont guère précises quant à leur utilisation.

Premier bilan des 27 commissions, la collecte de données est un fait généralisé « puisqu'elle concerne les 3/4 des applications examinées ». Sans surprise, la localisation, l'identifiant du terminal mobile et les comptes utilisateurs sont les données les plus demandées. « Si pour certaines de ces données, leur collecte est justifiée par la finalité de l'application, pour d'autres cette collecte semble moins évidente » remarque judicieusement la CNIL.

Justement, les informations vis-à-vis de l'utilisation des données sont-elles bien précisées ? Pas du tout. Près d'une fois sur deux, soit l'information est « difficile à trouver » soit tout bonnement « inadaptée à un écran de petite taille ». Résultat, à peine un quart des applications analysées ont été assez précises, grâce à des « explications brèves et faciles à comprendre ».

Ce court bilan rappelle celui réalisé l'an passé par près d'une vingtaine de commissions (dont la CNIL), qui s'étaient penchées cette fois sur la communication des sites Internet sur les données personnelles collectées. « Les conclusions de cette opération montraient l'insuffisance, voire parfois l'absence, d'une information claire des internautes sur les conditions de traitement de leurs données personnelles ».

Information sur le traitement des données : zéro pointé pour certaines applications

Pour en revenir aux applications mobiles, la CNIL indique avoir analysé 121 applications très populaires uniquement en France, ceci sur Android, iOS et Windows Phone. Comme on peut le voir dans le graphique ci-dessous, la plupart s'intéressent à la position géographique des utilisateurs, ainsi qu'à identification de l'appareil, aux photos et au stockage.

La commission précise surtout que 15 % des applications examinées (soit 18) « ne fournissent aucune information sur le traitement des données collectées ». Quant aux autres, environ 50 % obligent l'utilisateur à aller dans différents onglets de l'application ou sur le site web de l'éditeur pour obtenir plus de détails sur l'exploitation de ses données. Globalement, « l'information n'est pas suffisamment claire et compréhensible ». Pire encore, certaines informations ne sont disponibles qu'en anglais.

La CNIL conseille donc vivement aux utilisateurs d'être à la fois vigilants et exigeants en matière d'applications mobiles. La commission nous engage même à nous détourner « de celles qui en demandent le plus et en disent le moins ». Quant aux développeurs d'applications, elle leur recommande de miser sur plus de transparence, ceci afin de gagner la confiance des utilisateurs. Mais dès lors que ces derniers ne lisent de toute façon pas les demandes d'accès et appuient très vite sur « Accepter », les développeurs et éditeurs vont-ils suivre ces recommandations ?

Notez qu'en mai dernier, la CNIL rappelait que si des manquements à la loi venaient à être décelés, elle se réservait « la possibilité d’effectuer des contrôles et, le cas échéant, d’engager des procédures de sanction ». Aucune information en ce sens n'a toutefois été pour le moment dévoilée.