La CNIL, conjointement avec l'Institut national de recherche en informatique et en automatique (INRIA), s'est penchée sur les données enregistrées par les smartphones et leurs applications. Un sujet sensible quand on connait les nombreux abus constatés dans ce secteur ces dernières années.
Début de la liste des données accessibles à une application (ici sur Google Play).
189 applications analysées
Depuis près d'un an, la CNIL et l'INRIA se sont donc intéressés de près au sujet. Un outil spécifique nommé Mobilitics a été créé pour l'occasion. « Le projet Mobilitics a consisté à développer un outil capable de détecter et d'enregistrer les accès à des données personnelles par des applications ou programmes internes du téléphone (accès à localisation, aux photos, au carnet d'adresses, à des identifiants du téléphone, etc.) » résume la CNIL.
Développé durant un an, Mobilitics a été installé sur six iPhone appartenant au laboratoire de la CNIL. 189 applications ont ainsi été testées, et 9 Go de données ont été récoltées, le tout sur une période de trois mois. Une version Android sera disponible dans les semaines à venir, permettant ainsi à la CNIL de compléter sa recherche.
De la géolocalisation au carnet d'adresses
Concernant les 189 applications iOS, la CNIL a ainsi relevé que la plupart (93 %) accèdent à internet. Si pour certaines, cet accès est légitime afin d'obtenir des informations sur le web, la Commission note que cela ne se justifie pas toujours, notamment pour les jeux. 46 % des applications ont pu obtenir l'identifiant unique de chaque appareil, près d'un tiers des applications ont un accès à la géolocalisation, 16 % obtiennent le nom de l'appareil et 8 % accèdent au carnet d'adresses..
Au total, la CNIL a comptabilisé « près de 41 000 événements de géolocalisation pour 6 personnes en 90 jours, soit une moyenne de 76 événements par volontaire par 24 heures». Il s'agit, et de loin, de la donnée la plus consommée. La CNIL rajoute que certaines applications « sont à l'origine des accès à la grande majorité des données, avec une intensité qui semble dépasser le seul besoin des fonctions de ces applications ». Et sans surprise, de nombreuses applications accèdent à des données qui n'ont aucun rapport avec les services proposés. La plupart des applications pour fonctionner n'ont d'ailleurs pas besoin de votre carnet d'adresses, du nom de l'appareil ou de la géolocalisation.
Bien sûr, pour des raisons publicitaires, nous pouvons imaginer qu'une société souhaite accéder à certaines données qui ne sont pas nécessaires à l'application. Néanmoins, de nombreuses questions peuvent être posées quant aux abus constatés dans ce marché, ceci que ce soit sur l'App Store ou les autres plateformes.
La CNIL fait d'ailleurs remarquer que ces collectes de données à première vue inutiles le sont souvent pour des intermédiaires économiques. « De nombreux acteurs tiers sont destinataires de données, par l'intermédiaire d'outils d'analyse, de développement ou de monétisation présents dans les applications. Les analyses permettent d'identifier plusieurs acteurs recevant des informations récupérées par l'intermédiaire de cookies spécifiques aux applications. Les acteurs classiques du traçage en ligne sont déjà très présents au sein de certaines applications mais les chiffres montrent également l'émergence d'acteurs nouveaux dédiés au mobile. »
Tout le monde doit y mettre du sien
Afin d'éviter une trop grande propagation des données et donc une mauvaise exploitation de celles-ci, la CNIL conseille aux développeurs de penser leurs applications en prenant en compte les problématiques des données et des libertés. Mais les plateformes intermédiaires (App Store, Google Play, etc.) ont aussi un rôle à jouer. La CNIL estime d'ailleurs que la situation actuelle (du tout ou rien) n'est pas acceptable. « Les magasins d'application doivent inventer des modes innovants d'information des utilisateurs et de recueil du consentement. »
Outre les développeurs et les magasins d'applications, la Commission note que les smartphones peuvent aussi améliorer la situation via leurs réglages. « Un contrôle plus fin pourrait être proposé sans pour autant dégrader l'expérience utilisateur » fait remarquer la CNIL, qui rajoute avoir mis en place à l'aide de l'INRIA une liste de réglages qui pourraient être offertes dans les OS mobiles.
Enfin, « les acteurs tiers qui fournissent des services et des outils aux développeurs ne doivent collecter que les données nécessaires et ce, en toute transparence, vis-à-vis du développeur et par voie de conséquence vis-à-vis de l'utilisateur final » termine la CNIL.
