Collecte de données personnelles et suivi des utilisateurs… la CNIL a publié la « saison 2 » de Mobilitics, son étude sur le comportement des apps dans nos smartphones. Des observations rendues possibles avec une app mise au point par l'Institut national de recherche en informatique et en automatique [PDF & infographie]. En avril 2013, la Commission Nationale de l'Informatique et des Libertés et l'INRIA avaient publié une étude menée depuis la fin novembre avec iOS 5. Cette fois, les six volontaires de la CNIL ont utilisé Android 4.3 "Jelly Bean" entre juin et septembre dernier ainsi que 121 applications.
Identifiants
Le premier constat dressé est l'appétit des apps pour collecter différents identifiants : celui lié à la publicité, le numéro de téléphone de l'utilisateur, celui de la carte SIM, l'adresse MAC de la puce Wi-Fi, etc. Toutes les apps ne vont pas bien sûr aller chercher l'intégralité de ces éléments. Un testeur avec 58 apps installées en a vu 5 s'intéresser à son numéro de téléphone. Mais il arrive qu'elles en croisent plusieurs. Le plus gênant est lorsqu'une app pioche dans ces informations alors qu'elles ne lui servent en rien dans son fonctionnement.
Tant Apple que Google ont limité l'usage du numéro d'identification du téléphone et permettent de purger le numéro d'identification publicitaire qui l'a remplacé. Il faudra aller dans les réglages d'iOS pour le faire. Le chemin n'est pas trop compliqué à trouver quoi qu'en dise la CNIL (par contre Apple parle toujours "d'iOS 7" dans l'explication associée à la fonction…). Sur Android il faut aller non pas dans les réglages du système comme on pourrait s'y attendre mais dans les paramètres de l'app Google.
Géolocalisation
Un tiers des apps testées dans le lot pour Android a utilisé la géolocalisation de l'utilisateur. C'est l'information qui a été la plus populaire dans l'échantillon. Que cette donnée soit souvent demandée n'a rien d'anormal au vu des services que rendent les applications aujourd'hui, temporise la CNIL. Mais il y a tout de même des cas très étonnants, des apps qui gélolocalisent à tout va, qu'on soit ou non en train de les utiliser.
Le plus surprenant est surtout l’intensité et la fréquence d’accès à cette information par certaines applications. Par exemple, sur une période de 3 mois, une application a accédé plus de 1 million de fois à la géolocalisation et une deuxième application plus de 700 000 fois. Cela représente en moyenne près d’un accès par minute sur une période de 3 mois… Et pourtant il ne s’agissait pas d’applications de navigation ou d’itinéraire.
Dans de telles situations on peut se demander à quel point ces relevés sont réellement associés à des besoins de l'application ou peut-être, à la rigueur, un défaut de conception, s'interroge la CNIL. Mais cela va à l'encontre du respect de la vie privée (en plus de ponctionner la batterie des téléphones).
S’agit-il d’un problème de mauvaise optimisation des commandes de l’application (qui n’auraient alors pas été pensées pour réduire la collecte de cette donnée à ce qui est utile, mais la rendraient au contraire permanente « au cas où »), ou bien certaines applications chercheraient-elles à acquérir des informations riches sur l’ensemble des localisations d’une personne, en dehors de tout lien avec les fonctionnalités premières de l’application ?
Là-aussi la vigilance s'impose, insiste la CNIL, car une base de données très riche en pointages de géolocalisation permet d'en apprendre beaucoup sur la vie quotidienne de l'utilisateur. La CNIL pointe à ce propos l'amélioration apportée par iOS 8. On peut décider si l'app a le droit de géolocaliser en permanence ou uniquement lorsqu'elle est à l'avant plan « ce qui va dans le bon sens du point de vue de la granularité des réglages ».
OS et App Stores
Il n'y a pas que les apps d'éditeurs tiers qui collectent beaucoup. Celles installées par défaut par Google travaillent tout autant et sans être soumises au même régime de prévention.
L’application-widget « Actualités et météo » a accédé 1 560 926 fois à la localisation de l’utilisateur pendant les trois mois de l’expérimentation. Cette application a aussi communiqué 341 025 fois avec internet.
Ce qui fait pas moins de 17 300 sollicitations de la position de l'utilisateur par jour… Problème, dès lors qu'elles sont préinstallées ces apps ne proposent pas d'avertissement et de demande d'autorisation à leur premier lancement, comme doivent le faire les autres applications. Difficile alors pour l'utilisateur d'exercer un contrôle sur ce qu'elles font.
Cette étude a ses limites, la CNIL en convient elle-même. L'échantillon n'est que de six personnes seulement et 121 apps mises à l'épreuve c'est aussi une goutte d'eau face à ce que proposent les App Stores. Reste que ces observation dépeignent une certaine réalité quotidienne. En conclusion, la CNIL en appelle aux éditeurs de systèmes d'exploitation à continuer leurs efforts vers plus de transparence et aux éditeurs à prendre également leurs responsabilités « Les développeurs et éditeurs d’application doivent quant à eux adopter une approche de privacy by design et notamment minimiser les données en s’interdisant la collecte des données qui ne sont pas liées au service rendu par l’application ».