L'application météo AccuWeather pour iOS a fourni des données de localisation à une société tierce, Reveal Mobile, spécialisée dans leur utilisation commerciale. Même une fois la géolocalisation coupée, le service pouvait s'appuyer sur les réseaux Wi-Fi pour trouver l'emplacement de l'utilisateur. Ce qu'elle nie avoir effectué.
AccuWeather sort le parapluie. Le service de météo a commis quelques imprudences avec les données de ses clients, via son partenariat avec Reveal Mobile, qui exploite la géolocalisation des mobinautes à des fins commerciales. Le 22 août, le chercheur en sécurité Will Strafach accusait l'entreprise d'intégrer à son application un SDK capable de situer l'utilisateur grâce aux informations des réseaux Wi-Fi (nom et BSSID) auquel l'appareil est connecté.
Ces données s'ajoutent à la géolocalisation GPS classique (dont la vitesse et l'altitude) et l'état du Bluetooth (activé ou non). Reveal Mobile promet à ses partenaires de générer des revenus sans publicité. « La valeur tient dans la compréhension du parcours du consommateur et où ils vont au fil de la journée. Voyager de la maison au travail, au magasin, à l'entrainement de football puis au restaurant est vital pour connaître le client et représente une nouvelle opportunité de la géolocalisation mobile » écrit-elle sur son site.
Des données non-exploitées, mais le SDK retravaillé
Dans un communiqué, AccuWeather a d'abord répondu que les accusations étaient exagérées. L'entreprise rappelle que les données GPS ne sont pas fournies si la permission de géolocalisation est refusée à l'application et affirme que les informations sur les réseaux Wi-Fi ne sont pas utilisées. Elle admet tout de même qu'elles ont bien été transmises à Reveal Mobile « sur une courte période »... sans être pour autant exploitées, déclare-t-elle.
Dans un second communiqué publié le lendemain, le service météo dit avoir supprimé le SDK de Reveal Mobile de son application, pour la réintégrer quand elle respectera certaines obligations. « Reveal a déclaré que le SDK pouvait être mal compris, et il assure qu'aucune rétroingénierie des lieux visités n'a jamais été effectuée sur les informations rassemblées. Cela n'a jamais été son intention » tente de rassurer la société.
Une transparence toujours difficile
Le cas d'AccuWeather n'est qu'un épisode de plus dans la longue saga des entreprises qui collectent des données sans que l'utilisateur ne le sache. La société elle-même ignorait la récupération d'informations sur les réseaux Wi-Fi. Pourtant, dans ses deux communiqués, elle se targue de respecter la vie privée de ses utilisateurs, et d'importants efforts de transparence, qui n'ont pas payé ici.
En avril, c'était le service Unroll.Me, qui propose de nettoyer les boites e-mail des internautes, qui avait connu la tourmente. Le service gratuit avait revendu à Uber des informations liées au contenu agrégé des boites de ses utilisateurs, sans leur en avertir explicitement. De quoi agacer une partie d'entre eux, même si la commercialisation des données doit devenir bien plus cadrée dans l'Union européenne à partir de mai prochain, avec l'application du Règlement général de protection des données (RGPD), pour lequel nombre d'entreprises ne sont pas encore prêtes.
