La CNIL et l’Inria viennent de lever le voile sur les données personnelles récoltées par les applications mobiles. Cela fait déjà un an qu’ils travaillent main dans la main sur ce projet intitulé Mobilitics.
La Commission nationale de l’informatique et des libertés (CNIL) et l’Institut National de Recherche en Informatique et en Automatique (Inria) ont développé un système d’investigation pour déterminer la proportion de données utilisateurs récoltées et diffusées à partir de nos applications smartphone. Ce travail minutieux a été entrepris afin de mieux comprendre si cette pratique est justifiée, ou au contraire abusive. Pour cela, ils se sont intéressés au comportement de six volontaires de la CNIL à qui l’ont a prêté un iPhone durant une période trois mois. À noter que l'étude porte pour le moment sur les smartphones fonctionnant sous le système d'exploitation mobile d'Apple, une enquête sur les terminaux Android étant à venir.
Le résultat de cette étude est frappant. Avec un total de 189 applications testées, on découvre tout d’abord que 93 % d’entre elles accèdent à Internet. Une pratique qui ne se justifie pas toujours, notamment en ce qui concerne les jeux vidéo. Ensuite, on apprend que près de 50% des applications passées à la loupe accèdent en permanence aux données personnelles de son propriétaire. On parle bien sûr ici de l’outil d’identification UDID retransmis massivement aux éditeurs des applications. La firme à la pomme a toutefois assuré que cette pratique ne serait bientôt plus tolérée et qu’elle mettrait en place de nouveaux identifiants dédiés au ciblage publicitaire.
À noter également que 30 applications accèdent au nom de l’appareil. Une information qui laisse dubitatif. Quel peut en être son usage ? Il s’agit peut-être là d’analyser les usages d’une application, ou d’identifier une personne munie de plusieurs terminaux. Enfin, voici un chiffre significatif : presqu'un tiers des applications utilisées par les volontaires ont accédé à la géolocalisation. Mais il est difficile de savoir ici si cette pratique a du sens. Le nom des 189 applications jugées n’est pas identifiable, difficile donc de légitimer ou non leur conduite.
En conclusion, la CNIL n’a pas souhaité faire le procès des éditeurs des applications, mais plutôt mieux comprendre les comportements afin de définir de nouvelles directives visant à protéger les données personnelles des utilisateurs. Les suggestions essentielles sont les suivantes :
“Les magasins d'application doivent inventer des modes innovants d'information des utilisateurs et de recueil du consentement. La situation actuelle, binaire, du ‘à prendre ou à laisser' n'est pas satisfaisante”.
“Les paramètres et réglages présents dans les systèmes d'exploitation pour smartphones sont insuffisants. Un contrôle plus fin pourrait être proposé sans pour autant dégrader l'expérience utilisateur. Dans le cadre du projet Mobilitics, la CNIL et l’Inria ont développé, à titre expérimental, une démonstration des réglages qui pourraient être proposés par le fournisseur du système d'exploitation”.
“Les acteurs tiers qui fournissent des services et des outils aux développeurs ne doivent collecter que les données nécessaires, et ce, en toute transparence, vis-à-vis du développeur et par voie de conséquence vis-à-vis de l'utilisateur final”.
Ces pistes vont-elles réellement être mises en place ? Pour le moment, on n'en sait pas plus. Une meilleure protection des données utilisateurs ne serait pourtant pas un luxe. En effet, dans de trop nombreux cas l'usage qui peut être fait de nos données reste globalement flou ! Peut-on réellement espérer une action de la CNIL ? Cette institution veille au respect de la vie privée et des libertés dans le monde numérique. Toutefois, son autorité ainsi que son indépendance vis-à-vis des pouvoirs publics est régulièrement remise en cause.
Aucun commentaire:
Enregistrer un commentaire