High-TechDe nombreuses applications récoltent des données personnelles à l'insu de leur utilisateur selon un rapport de La Cnil intitulé "Smartphone et vie privée".
"Les outils d'identification et de traçage envahissent les smartphones". Voici une des premières conclusions de l'enquête menée depuis 2011 par la Cnil. "Aujourd'hui, 24 millions de Français possèdent un smartphone, près d' 1 million d'applications sont disponibles et font partie de leur quotidien. Pourtant, les utilisateurs savent très peu de choses sur ce qui se passe à l'intérieur de ces 'boites noires' qui contiennent de nombreuses informations personnelles", met en garde l'autorité administrative dans un communiqué.
Pour comprendre ce qui se cachait dans ces fameuses "boîtes noires", la Cnil et l'Inria ont analysé les données enregistrées, stockées et diffusées par nos smartphones. Surnommé Mobilitics, leur projet a consisté à développer un outil capable de capter et d'enregistrer toutes les données que récoltent les applications que nous téléchargeons et utilisons au quotidien.
Ce dispositif, fonctionnant avec le système d'exploitation mobile d'Apple (iOS), a été installé sur 6 iPhones. "Pendant trois mois, des volontaires de la Cnil ont accepté d'utiliser ces smartphones comme s'ils leur appartenaient", détaille la Cnil. Au total, 9 Go de données ont été récoltées et 189 applications ont été utilisées.
Récolter des informations pour les revendre
Résultats : 9 applications sur 10 se connectent automatiquement à Internet, sans que cela soit toujours justifié. "Nous avons constaté que de nombreux jeux accédaient au réseau Internet sans demander l'avis à l'utilisateur", constate Geoffrey Delcroix, chargé d'études innovation et prospectives à la Cnil. Autre enseignement, presqu'un tiers des applications utilisées par les volontaires ont accédé à la géolocalisation. "Pour certaines applications type météo, pages jaunes, cet accès est justifié, reconnaît le chargé de mission. Mais pour d'autres nous ne comprenons pas pourquoi les développeurs récoltent cette donnée".
Parmi Parmi les autres résultats, 46% des applications ont accès à l'Udid - un numéro de série du téléphone Apple, non-modifiable par l'utilisateur-, 16% accèdent au nom de l'appareil, 8% au carnet d'adresses des utilisateurs. "Ces informations permettent d'alimenter des statistiques d'usage et peuvent être revendues", explique Geoffrey Delcroix. Ainsi, "rien qu'en récoltant l'Udid, le développeur peut potentiellement savoir quelle est la liste des applications téléchargées par l'utilisateur et connaître par conséquent son mode de vie, ses habitudes de consommation, etc. Mais ce ne sont que des hypothèses, l'usage de ces données restent encore très opaque".
"Le but est d'améliorer l'information et la protection de l'utilisateur" Pour autant, la Cnil ne cherche pas à pointer du doigt les acteurs de cet écosystème (magasins d'application, développeurs, etc). "Il s'agit plutôt de comprendre comment et pourquoi ils récoltent ces données afin d'engager un dialogue avec eux", explique le chargé de mission à la Cnil.
En somme, la Cnil réclame plus de transparence de la part des développeurs et un meilleur contrôle des données par l'utilisateur. "Le but est d'améliorer l'information et la protection de l'utilisateur qui ne sait pas toujours qu'il fait l'objet d'un tracking, rappelle Geoffrey Delcroix. Il doit savoir quelles données il envoie et pouvoir accepter ou non de le faire au moment d'utiliser une application".
Pour l'heure, la Cnil et l'Inria poursuivent leurs recherches et devraient effectuer dans les mois à venir la même enquête sur Androïd.