La CNIL vient de mettre en ligne le second volet de son étude Mobilitics, s'attardant cette fois-ci sur le cas d'Android, un « environnement par nature plus ouvert et moins contrôlé a priori que celui d’iOS ». Une chose est sûre, entre tracking publicitaire et géolocalisation à tout va, l'utilisateur est placé sous haute surveillance et Google est loin d'être étranger à ce phénomène.
La CNIL vient de mettre en ligne sa seconde étude Mobilitics. Après les iOS et les iPhone l'année dernière, c'est au tour des terminaux et des applications Android d'être passés au crible par la Commission et Inria. Les deux entités ont travaillé de concert et se sont ainsi réparties les tâches : « pour la CNIL, il s’agit de mieux comprendre ce qui se passe réellement lors de l’usage de ces appareils, pour définir des priorités d’action et émettre des recommandations. Pour Inria, il s’agit aussi de pousser plus loin les investigations et analyses techniques et de développer des solutions permettant de mieux protéger les utilisateurs ».
Le nerf de la guerre : la collecte d'informations à des fins publicitaires
Avant d'entrer dans le vif du sujet, il faut rappeler qu'il existe différents types d'applications, au comportement bien différent. La CNIL évoque ainsi quatre grandes familles : celles qui « peuvent être liées à un autre service (l’app de votre banque par exemple), financées par l’intégration de publicités, à travers des achats « in app » (c’est le modèle de nombreux jeux à succès) ou encore… fondées sur la collecte et la monétisation de données à des fins publicitaires par des tiers ». Mais, pour la Commission, ce dernier modèle économique est « omniprésent et incarne cette économie cachée des données personnelles sur les smartphones que nous cherchons à décrypter ».
L'année dernière, 189 applications étaient passées au crible sur iOS (de novembre 2012 à janvier 2013). Cette fois-ci, c'est le comportement de 121 applications Android qui a été analysé de près. Comme nous allons le voir, au-delà des applications elles-mêmes, des différences fondamentales existent entre les deux systèmes d'exploitation mobiles : « l'expérimentation Android montre des logiques similaires, mais dans un environnement par nature plus ouvert et moins contrôlé a priori que celui d’iOS » résume la CNIL et Inria, qui publient au passage un tableau récapitulatif :
Commençons tout de suite par l'identifiant unique de l'appareil : UDID sur iOS et Android ID sur le système d'exploitation de Google. Il était utilisé par près de la moitié des applications iOS, mais depuis le dernier rapport de la CNIL, Apple a limité l'accès à cette information. Quoi qu'il en soit, 34 % des applications Android ont accédé à cette donnée, tandis que 23 % veulent connaitre le nom de l'opérateur, 20 % l'IMEI du terminal et 5 % l'identifiant unique de la carte SIM (ICCID).
Ces informations permettent de bien cibler et suivre un utilisateur afin de collecter un maximum d'information sur ses habitudes, sans forcément les mélanger avec celles d'autres clients. Concernant ces informations, la CNIL parle de son côté d'un détournement « de leur raison d’être ».
La géolocalisation omniprésente, dépassant parfois le million de demandes en trois mois
Mais, la « reine » des données récoltées est sans aucun doute la géolocalisation : « entre un quart et un tiers des applications présentes sur les différents appareils des vagues 1 (iOS) et 2 (Android) ont eu accès à la localisation de l’appareil ». La commission tempère néanmoins en précisant que « ce chiffre n’est en soi ni choquant ni surprenant » puisque, « sur l’ensemble des applications testées, la très grande majorité avait au moins une fonction accessoire utilisant la géolocalisation ». Reste à voir si elle est toujours réellement utile/justifiée ou bien s'il ne s'agit que d'un petit supplément permettant de « justifier » une demande de géolocalisation pour d'autres usages. Sur ce dernier point, rien n'est indiqué.
Mais, toujours selon la CNIL, ce qui est davantage choquant c'est l'intensité des mesures de géolocalisation qui représentent à elles seules 30 % des données détectées par ses outils (développés avec Inria) : « par exemple, sur une période de 3 mois, une application a accédé plus de 1 million de fois à la géolocalisation et une deuxième application plus de 700 000 fois. Cela représente en moyenne près d’un accès par minute sur une période de 3 mois ». Pire encore, il ne s'agissait même pas d'une application de type GPS. On pensera par exemple à des cas comme le français Happn qui s'inspire du service de rencontre Tinder mais avec une géolocalisation constante en plus, sous couvert de vous permettre de retrouver une personne croisée dans la journée.
Dans le rapport, quelques exemples (non nominatifs) sont ainsi donnés : « une application de service de réseau social a pu accéder 150 000 fois en 3 mois à la localisation d'un de nos testeurs », contre « plus de 3 000 fois en 3 mois pour un jeu ». De manière générale, « beaucoup d'applications accèdent très souvent à la localisation », une tendance qui s'accentue au fil du temps et pas uniquement dans le cas des applications mobiles (voir notre analyse concernant des sites de presse en ligne) car elle permet de mieux cibler la publicité, un point des plus importants pour certains éditeurs.
La Commission précise tout de même que « rien ne permet d’affirmer que les éditeurs récupèrent en permanence ou périodiquement (« par paquets ») cette information : elle peut n’être collectée que pour être utilisée dans l’appareil par l’application ». Mais rien ne permet non plus d'affirmer le contraire, on reste donc le vague pour le moment, un point qu'il serait intéressant d'approfondir afin de voir comment cette information est utilisée précisément.
Quoi qu'il en soit, cela n'est pas sans soulever un problème pour la CNIL : « ces accès si nombreux ne peuvent être reliés simplement à des fonctionnalités offertes par l'application et encore moins à une action demandée par l'utilisateur. Ils soulèvent dès lors en eux-mêmes une question de protection de la vie privée, transformant le téléphone en un instrument permanent de localisation de son propriétaire (sans même parler des conséquences éventuelles en termes de performance ou de durée de vie de la batterie) ».
Les applications de Google pointées du doigt par la CNIL...
À ce petit jeu, Google occupe d'ailleurs une place très importante, sur iOS avec ses applications Maps, Gmail, Search ou bien en tant que régie publicitaire, mais aussi bien évidemment sur Android. Ainsi, l'application Play Store « a accédé en 3 mois et pour un seul utilisateur 1 300 000 fois à la localisation cellulaire, 290 000 fois au GPS, 196 000 fois au scan du Wi-Fi et plusieurs milliers de fois à quelques autres données ». Même situation ou presque pour le widget Actualités et Météo avec plus de 1,5 million de demandes de localisation !
Or, comme nous avons déjà eu l'occasion de l'évoquer à plusieurs reprises, l'application Play Store est une pierre angulaire d'Android puisqu'elle permet d'installer des applications et de les mettre à jour, elle est donc utilisée par la quasi totalité des adeptes d'Android. De plus, Play Store et le widget météo (entre autres) sont le plus souvent installés par défaut et « l’utilisateur n’a pas pu consulter les informations collectées, qui sont généralement affichées avant le téléchargement et l’installation d’une application » note la CNIL.
... tout comme les réglages d'Android
Au-delà du comportement des applications, il existe des différences importantes entre Android et iOS. Concernant le tracking publicitaire tout d'abord, si les deux systèmes d'exploitation permettent de le désactiver, la CNIL précise que les réglages « ne sont ni simples à trouver, ni faciles à comprendre ». Il faut ainsi se rendre dans les réglages de confidentialités puis dans le menu Publicité d'un iPhone, alors que cette option se trouve dans les Paramètres Google sur Android.
Sur les deux systèmes d'exploitation il existe désormais des identifiants dédiés au tracking publicitaire : Advertising ID sur Android et Advertising identifier sur iOS. Mais, Google ne l'impose aux éditeurs d'applications que depuis le 1er août de cette année, alors que c'est déjà le cas depuis l'année dernière sur iOS. Apple ne permet d'ailleurs plus d'accéder à l'UDID.
Mais la principale différence se retrouve, là encore, du côté de la géolocalisation. S'il est possible de définir application par application qui peut accéder à cette information sur iOS, ce n'est pas le cas sur Android ou il faut se contenter d'un « oui ou non » global pour toutes les applications. La CNIL ajoute que « la mise en œuvre de mesures d’information et de réglages spécifiques pourrait dès lors être envisagée. Il serait par exemple possible de créer des réglages dédiés, par exemple un tableau de bord (dashboard) explicitant leurs accès et transmissions de données et les raisons associées, avec des possibilités de refuser (opt out) ou d'accepter (opt in) certaines fonctions ». Il faudra maintenant voir si les demandes de la commission des libertés seront prises en compte par le géant de Mountain View.
Au final, « ce travail a confirmé la nécessité pour la CNIL de rester vigilante vis-à-vis de l’information des utilisateurs et des outils de maîtrise des données personnelles mis à disposition par les systèmes d’exploitation et les éditeurs d’applications ». Concernant les utilisateurs, elle indique qu'ils « devraient disposer de meilleurs outils de contrôles et de paramétrage des données personnelles, et les utiliser ». la CNIL souhaite donc que « l'ensemble des acteurs de l'écosystème (éditeurs d'application, éditeurs des systèmes d'exploitation et responsables des magasins d'applications, tiers fournisseurs de services et d'outils) prenne la juste mesure de leurs responsabilités respectives pour améliorer l'information et les outils de maitrise des données personnelles ».
Reste à voir si chacun prendra ses responsabilités ou si la CNIL devra passer la seconde en étant plus autoritaire dans ses demandes à l'avenir.
