Après les mauvaises pratiques des sites web concernant les cookies, la CNIL prévoit d'intensifier ses contrôles pour protéger la vie privée des utilisateurs d'applications de smartphones. Première étape, une consultation sur les enjeux économiques.
Alors que les sanctions contre les sites internet commencent à pleuvoir sur les têtes des grandes entreprises du numérique comme Google, Microsoft, Meta, ou TikTok, les applications restent pour l'instant peu concernées. Mais peut-être plus pour longtemps. La récente sanction de l'éditeur de jeux Voodoo est un signe d'un possible durcissement de la surveillance de la CNIL sur le dossier.
L'autorité constate d'ailleurs l'écart des pratiques entre sites web et applications : « Si les principes et obligations en matière de protection des données sont désormais bien connus des opérateurs de sites web et font l’objet de recommandations de la part de la CNIL, leur mise en œuvre dans le contexte des applications mobiles peut encore être clarifiée ».
Et elle commence à mettre en place son plan d'action de protection de la vie privée concernant les applications annoncé en novembre dernier. Première étape, une consultation ouverte jusqu’au 10 février 2023 au soir.
Consultation « sur les enjeux économiques »
La consultation lancée par l'autorité se concentre sur les enjeux économiques. La CNIL veut pouvoir « mesurer l’impact potentiel des choix de régulation » et plus particulièrement sur les aspects de concurrence et d’innovation.
Si elle travaille de son côté sur le sujet, elle en appelle notamment aux analyses des chercheurs en économie, gestion, informatique ou disciplines connexes en la matière, des acteurs économiques du marché, des experts de bureaux d'études, des groupes d'intérêt et aux contributions d'autres autorités publiques. Mais les particuliers ayant une expérience en la matière peuvent aussi y participer.
L'autorité précise bien qu'il ne s'agit pas, ici, de recueillir des « contributions sur des aspects juridiques ou de conformité précis, ni sur des points particuliers ayant trait à la technologie et à la sécurité ».
Au cours du deuxième trimestre 2023, la CNIL publiera un projet de recommandations qui sera, lui, sujet à une consultation plus vaste et permettra de recueillir des positions sur les points juridiques.
Sensibilisation du grand public
En juin dernier, la CNIL a lancé une étude sur les données de géolocalisation collectées par des applications mobiles qui devrait finir en septembre prochain. Celle-ci a pour but de sensibiliser le grand public. Elle est assez originale puisqu'elle se base sur un échantillon (près de 5 000 000 d’identifiants publicitaires de smartphones pendant une semaine) récupéré gratuitement chez un courtier de données via une plateforme de mise en relation. Le Laboratoire d’innovation numérique de la CNIL (LINC) teste s'il est possible de réidentifier les personnes à partir de ces données.
Pour cela, il ne s'autorise par contre à les croiser qu'avec des données publiques comme les agendas ouverts de personnalités publiques, la participation aux séances parlementaires, des cartes de densité de la France, des données provenant de l’annuaire universel et des sites de manifestations sportives publiques.
La CNIL précise évidemment que « dans l’éventualité où des personnes seraient réidentifiées, le traitement de leurs données sera suspendu jusqu’à ce qu’elles soient individuellement informées ». Le grand public sera ensuite informé par la publication de plusieurs publications sur le site du laboratoire.
La CNIL prévoit ensuite une campagne de sensibilisation en publiant des recommandations à destination des utilisateurs et notamment ceux d'applications s’adressant à « des publics vulnérables ou traitant des données sensibles (applications médicales ou destinées aux enfants, femmes enceintes, etc.) ».
Intensification des contrôles sur les applications
Même si la CNIL le conditionne encore sur son site aux observations de terrain qui sont en train d'être effectuées, la troisième étape du plan de l'autorité à propos des applications est bien de « mettre en œuvre un plan de contrôle de grande ampleur ». Elle prend même l'exemple de son plan de contrôle qu'elle a mis en place concernant les cookies traceurs des sites web qui commencent à porter ses fruits.
Si l'autorité rappelle que des contrôles d'applications sont déjà à l'œuvre sur la base de plaintes, ce plan devrait intensifier leur nombre.
Commentaires (9)
#1
Vaste programme, vu comme les app mobiles sont gloutonnes en données privées.
#2
Ah, si on pouvait exiger des éditeurs qu’ils nous permettent de télécharger une version de leur appli épurée des sdk tiers tels que Facebook ou autres traceurs intrusifs - je suis même prêt à payer à l’achat pour cela !
#3
Quand je vois ce que log la protection contre le suivi de DuckDuckGo sur mon smartphone… et qu’elle ne doit pas tout bloquer… il y a de quoi avoir peur…
#4
Et ensuite les applications sur poste fixe??
Avec Windows 10 & Co qui collecte des données et oblige à la création de compte à coup d’interfaces utilisateur ambiguës
#5
DDG n’a-t-il pas un lien commercial avec Microsoft dont il accepte les traceurs ? DDG est “populaire”, rien d’autre. Bien d’être sympa, mais il faut vivre, alors on cède à la tentation et on monétise son capital de sympathie.
Désinstallé au profit de MetaGer.
#5.1
Non, il utilise (entre autres) bing pour ses résultats mais c’est tout.
#5.2
Oui, je suis au courant pour les liens entre Kro$oft et DDG. C’est surtout la fonctionnalité Suivi des traqueurs que j’utilise. En partant du principe que c’est déjà ça de bloqué!
Et il semblerait que ce soit fini!
#6
Je cite https://restoreprivacy.com/private-search-engine/ :
« Pour financer les opérations, DuckDuckGo génère de l’argent grâce à des publicités et des programmes d’affiliation, ce qui est expliqué ici. Semblable à Google et d’autres moteurs de recherche, DuckDuckGo affichera des annonces en haut de vos recherches. DDG s’est associé à Amazon et eBay en tant qu’affiliés.
Les recherches sont sauvegardées – La politique de confidentialité de DuckDuckGo révèle que DDG enregistre toutes vos requêtes de recherche :
Nous enregistrons également les recherches, mais encore une fois, pas de manière personnellement identifiable, car nous ne stockons pas les adresses IP ou les chaînes uniques de l’agent utilisateur. Nous utilisons des données de recherche agrégées et non personnelles pour améliorer des choses comme les fautes d’orthographe.
(…)
En faisant des recherches sur le contexte de DuckDuckGo, j’ai découvert une histoire intéressante. Le fondateur de DDG, Gabriel Weinberg, était également à l’origine d’un réseau social appelé Names Database, qui collectait les vrais noms et adresses de ses utilisateurs. Il a ensuite vendu Names Database (et toutes les données des utilisateurs) à Classmates.com pour « environ 10 millions de dollars en espèces » en mars 2006. »
#7
Etant donné que ça parle de tracking et d’applis mobiles, n’hésitez pas à aller tester vos applis sur https://reports.exodus-privacy.eu.org/fr/.
Par contre c’est que pour les applis Android, on peut dire merci à Apple et à sa transparence côté code.