Des chercheurs en sécurité ont analysé les données transmises aux serveurs d’Apple lors de l’utilisation de l’App Store. Ils ont noté l’envoi régulier d’une grande quantité d’informations, autant sur l’utilisation de la boutique que des données sur l’appareil utilisé et même sur l’utilisateur. Et surtout, ils ont identifié que cet envoi persiste même si l’utilisateur désactive le partage de données et les recommandations personnalisées de la boutique. Alors qu’Apple se vante d’être un champion de la confidentialité des données, ce comportement inchangé fait mauvais genre.

Les chercheurs en sécurité ont besoin d’un appareil jailbreaké pour déchiffrer le contenu qui évolue entre un appareil iOS et les serveurs d’Apple, ce qui explique que leurs recherches se sont faites sous iOS 14.6 seulement. Néanmoins, ils ont pu vérifier qu’un appareil sous iOS 16 envoie lui aussi des requêtes similaires, que le partage des données personnelles soit actif ou pas. Ils ne peuvent pas s’assurer que les informations envoyées sont aussi complètes, mais c’est sans doute le cas.

Apple liste sur cette page les données personnelles qu’elle collecte pour ses propres besoins publicitaires. La longue liste d’informations récupérées par les chercheurs en sécurité n’est pas une surprise à cet égard, le constructeur indiquant notamment qu’il récupère ces informations sur l’appareil de ses utilisateurs :

Informations sur votre appareil : vos réglages de langue pour le clavier, le type de votre appareil, la version de votre système d’exploitation, votre opérateur de téléphonie mobile et votre type de connexion.

Par ailleurs, Apple détaille à cette même adresse ce qu’elle fait de toutes ces données. L’entreprise génère des « segments » constitués d’au minimum 5 000 personnes avec les mêmes intérêts et qui auront ainsi les mêmes publicités ciblées. Ces segments se basent sur quelques informations personnelles, en plus de celles collectées par l’App Store :

Données de votre compte : votre nom, votre adresse, votre âge, votre sexe et vos appareils font partie des données du compte correspondant à votre identifiant Apple.

Tous les téléchargements, achats et abonnements effectués sur les boutiques d’Apple ou avec les mécanismes de l’entreprise entrent aussi en ligne de compte pour créer ces segments. Apple peut aussi se baser sur ses propres publicités, par exemple en mémorisant celles que vous ouvrez. À partir de toutes ces données d’origine variées, vous serez placé dans un segment et vous verrez alors des publicités personnalisées, adaptées aux besoins et goûts du segment.

Ce processus n’est pas exceptionnel, c’est la base de tout suivi publicitaire et Apple essaie de le faire en respectant au mieux la vie privée, notamment en passant par ces segments qui contiennent un grand nombre d’utilisateurs. Si vous ne voulez pas de publicités personnalisées, l’entreprise propose naturellement de les désactiver : sur un appareil iOS, ouvrez l’app Réglages, puis « Confidentialité et sécurité » et enfin « Publicité Apple ». Vous pourrez alors décocher l’option « Publicités personnalisées » ou encore consulter les informations de ciblage publicitaire collectées par Apple, si vous avez activé cette personnalisation.

Le problème, c’est qu’Apple ne cesse manifestement pas de collecter de données personnelles, même si vous désactivez les publicités personnalisées. C’est ce que les chercheurs en sécurité ont prouvé, la collecte est identique quel que soit le paramètre sélectionné par l’utilisateur. L’App Store envoie toujours les mêmes informations et la différence se fait uniquement par la suite, Apple ne les utilisant en théorie que si l’utilisateur demande des publicités personnalisées.

Même si vous refusez la personnalisation, l’entreprise de Cupertino continue d’utiliser des données personnelles pour sélectionner les publicités qu’elle vous propose. Apple utilise votre historique de recherches dans l’App Store, les apps téléchargées ainsi que des informations sur votre appareil, comme la langue du clavier, le type, la version du système d’exploitation installée, votre opérateur mobile ou encore le type de connexion. Si vous avez activé la localisation pour l’App Store, votre position géographique peut également servir à orienter le choix des publicités.

Vous ne pouvez rien faire pour échapper à cette personnalisation « de base ». L’option dans les Réglages désactive la personnalisation avancée, où tous les critères à disposition d’Apple sont exploités pour créer des segments d’utilisateurs similaires, mais pas plus. Apple a aussi une définition toute personnelle du suivi publicitaire, qui n’existerait selon elle que lorsque des données personnelles sont partagées entre plusieurs acteurs. La publicité maison étant générée en interne, alors ce ne serait pas du suivi publicitaire…

La plateforme publicitaire d’Apple ne suit pas vos activités, c’est-à-dire qu’elle n’associe pas les données d’utilisateur ou d’appareil recueillies sur nos apps à des données d’utilisateur ou d’appareil recueillies auprès de tiers à des fins de ciblage ou de mesure publicitaires, et ne partage pas les données d’utilisateur ou d’appareil avec des courtiers en données.

À la demande de Gizmodo, les chercheurs ont confirmé que d’autres apps fournies par Apple collectaient elles aussi des données personnelles, même si l’utilisateur a désactivé les publicités personnalisées. C’est le cas notamment de Bourse, de Musique ou encore de Livres et c’est le même identifiant qui est transmis par chaque app, ce qui pourrait permettre à l’entreprise d’établir un profil complet vous concernant. En théorie, ce n’est pas le cas si vous désactivez le ciblage, mais Apple collecte malgré tout ces informations sur ses serveurs.

Contactée par Gizmodo, Apple n’a jusque-là pas souhaité commenter les découvertes des chercheurs en sécurité.