Si Apple a fermement verrouillé la transmission furtives de données personnelles dans les règles de son App Store, il n'en reste pas moins que dans une certaine mesure il est possible de les exploiter à des fins publicitaires. Apple elle-même procède à une collecte des données de géo-localisation avec iAd (lire iAds : Apple commence la collecte des données et Collecte des données : Apple s'explique).

On savait également que l'identifiant unique de l'appareil était transmis sans vergogne (lire iPhone, vie privée et UDID). Le Wall Street Journal a passé en revue 101 applications populaires, partagées pour moitié entre iPhone et Android : 56 d'entre elles transmettent l'identifiant unique de l'appareil sans le consentement de l'utilisateur, et 47 transmettent la position géographique de l'appareil d'une manière ou d'une autre. Cinq d'entre elles envoient l'âge, le sexe, et d'autres détails personnels sur l'utilisateur.

En dépit du fait qu'Apple soit en apparence plus stricte que Google sur la validation des applications, ce sont les applications iPhone qui se sont montrées les plus indiscrètes : elles ont transmis plus de données que celles d'Android. Rien ne dit cependant que cette tendance se confirme au delà du petit échantillon testé (lire également Android : trop de fuites de données personnelles). Parmi les plus bavardes, on trouve notamment TextPlus 4, qui transmet à huit régies publicitaires l'identifiant du téléphone, le code postal de sa position, ainsi que l'âge et le sexe de l'utilisateur à deux d'entre elles. Pandora quant à elle envoie aussi bien votre âge, votre sexe, votre position et l'identifiant du téléphone à différents réseaux publicitaires, aussi bien sur iOS qu'Android. Paper Toss, un jeu assez populaire sur iOS comme Android, envoie votre identifiant unique à au moins cinq sociétés. Pumpkin Maker envoie vos données géographiques sans demander votre autorisation. Grindr, une application dédiée aux rencontres homosexuelles, envoie le sexe, la position, et l'identifiant à trois régies publicitaires (et il ne faut pas être grand clerc pour déduire l'orientation sexuelle de ses utilisateurs).

Des transmissions qui sont explicitement en violation avec les règles de validation de l'App Store, puisque celles-ci exigent une approbation préalable de l'utilisateur :

3.3.9 Vous et votre application ne pouvez collecter les données concernant l'utilisateur ou l'appareil sans le consentement préalable de l'utilisateur, et ce uniquement pour fournir un service ou une fonctionnalité qui dépende directement de l'utilisation de l'application, ou à des fins publicitaires. Vous ne pouvez pas utiliser de logiciel d'analyse dans votre application pour collecter et envoyer des données de l'appareil à une tierce partie.

3.3.10 Vous devez fournir une information claire et complète aux utilisateurs au sujet de votre collecte, de l'utilisation, de l'usage et de la divulgation des données de l'utilisateur ou de l'appareil. De plus, vous devez faire le nécessaire pour protéger ces données de toute utilisation, divulgation, ou accès par une tierce partie sans autorisation. Si un utilisateur cesse de consentir ou révoque expressément son consentement à votre collecte, utilisation ou divulgation de ses données, vous devez immédiatement cesser ces usages.

Il n'empêche que ces applications sont passées entre les mailles du filet. Les créateurs de TextPlus 4, Pandora et Grindr indiquent que les données transmises ne sont pas nominatives. Ils ajoutent également que l'âge et le sexe leur est fourni expressément par l'utilisateur (sans doute y voient-ils un consentement explicite, ce qui peut amplement faire débat). Quand au créateur de Pumpkin Maker, il indique qu'il "ignorait" qu'Apple exige l'autorisation de l'utilisateur pour la transmission de ces données (il n'en a pas moins signé le contrat qui inclut les clauses citées ci-dessus). Le créateur de Paper Toss n'a quant à lui pas répondu aux questions du WSJ. Même Angry Birds transmet l'UDID de l'iPhone ainsi que sa position aux serveurs de Chilingo, qui indique que ces données ne sont pas utilisées à des fins publicitaires et qu'elles ne sont pas transmises à des tiers. Tous insistent sur le fait qu'aucune donnée n'est nominative et que l'anonymat de l'utilisateur est respecté (bien que le nom soit de moindre intérêt pour cibler les publicités). Si Apple a bien tenté d'empêcher de tels abus, il paraît clair que son processus de validation n'a pas été en mesure d'isoler les fautifs, ce que le Wall Street Journal a pu faire assez facilement en interceptant et décodant les données transmises. Apple a d'autant moins d'excuses qu'elle fait partie des régies publicitaires concernées avec iAds : sur les 51 applications iPhone testées, 18 d'entre elles envoient des données privées à Apple elle-même.