La CNIL a-t-elle raison d’être méfiante à l’égard de nos smartphones ? Faut-il s’alarmer ? Alors qu’environ 30 millions de français, souvent « ultra-connectés » disposent d’un smartphone, doit-on aujourd’hui se préoccuper des informations récoltées par les nombreuses applications mobiles installées sur nos appareils ? A la lecture de la dernière étude MOBILITICS SAISON 2 publiée par la CNIL et l’INRIA (Institut National de Recherche en Informatique et en automatique), il semblerait que la réponse soit positive et que ces interrogations soient opportunes. Le propos attribué à la Présidente de la CNIL qui affirmait il y a peu « les données personnelles sont le pétrole de l’économie numérique » semble ainsi pouvoir être confirmé aujourd’hui.
Un contexte favorable à l’émergence des applications mobiles
Sommes-nous suffisamment conscients de la circulation massive de données personnelles nous concernant ? Les applications qui se sont développées grâce à l’essor entre autres des smartphones font aujourd’hui partie intégrante du quotidien de nombreux d’entre nous. Ainsi, les français n’hésitent pas à les utiliser très fréquemment. Parmi les plus utilisées, on trouve les messageries instantanées, les réseaux sociaux, les applications GPS ou météo. Ces applications connaissent un succès important qui ne cesse de s’accroître. S’agissant des smartphones, dont l’usage s’est largement démocratisé, le nombre d’utilisateurs s’élève à près d’1,8 milliard dans le monde. La France illustre cette démocratisation dès lors qu’un utilisateur sur deux détient un smartphone.
Selon une étude publiée par la CNIL, un français dispose d’environ une trentaine d’applications sur son appareil. Depuis quelques années, la CNIL au sein de ses différents rapports a mis en évidence le manque d’information des utilisateurs sur la collecte de leurs données personnelles. Ainsi, la CNIL qui s’inquiète depuis de nombreuses années du recours intensif à la géolocalisation par les applications, met en garde contre le téléchargement massif d’applications par les utilisateurs. En effet, la récolte d’une information en apparence anodine, associée à d’autres, permet de cibler très précisément le comportement de l’individu, en vue de l’analyse de ses pratiques, habitudes, afin d’avoir une vision d’ensemble de son mode de vie. L’inquiétude de la CNIL s’est confirmée en mai 2014 lors d’un audit qui regroupait 27 autorités de protection des données où la CNIL est intervenue. Cet audit a confirmé un fait largement dénoncé par la commission française : l’insuffisance manifeste d’information sur l’utilisation des données personnelles récoltées par les applications.
En décembre dernier, les français ont appris qu’Android qui domine le marché des smartphones, s’était retrouvé dans le viseur de la CNIL à la suite de la publication d’une étude. La pratique des applications mobiles sous Android interroge et inquiète aujourd’hui.
Un précédent : l’étude MOBILITICS SAISON 1
Les études MOBILITICS saison 1 et 2 ont eu pour objectif de s’intéresser aux smartphones qui « produisent et consomment des données personnelles » massivement. Mobilitics est un outil permettant « de détecter les accès à des données personnelles ». Le second volet est une étude réalisée de juin à septembre 2014 qui s’est intéressée cette fois à l’utilisation des données personnelles par les applications sous Android. 121 applications du Playstore étaient concernées. Les résultats publiés en décembre dernier ont révélé une collecte « excessive », voir « disproportionnée » des données de l’utilisateur. Bien que l’offre d’applications d’Android soit aujourd’hui supérieure à celle d’iOS (1,43 miliard contre 1, 21 milliard), les applications sous iOS ont également fait l’objet d’une étude poursuivant le même objectif intitulée Mobilitics saison 1. Cette première étude avait déjà mis en évidence : le recours intensif à la géolocalisation (dite « reine des données ») qui sera confirmé par le présent second volet, la tendance des éditeurs et développeurs à « recourir à des stratégies d’identifiants », et la difficulté de parvenir à légitimer la collecte de certaines informations.
Une méfiance accrue face à une récolte des données de géolocalisation à outrance
La géolocalisation est la donnée dont la collecte inquiète le plus. Elle permet de situer géographiquement et de façon très précise un smartphone et son utilisateur. De nombreuses applications utilisent cette donnée, entre autres les applis de prévisions météo ou encore les services de navigation routière. La collecte par ces applications semble justifiée, toutefois elle ne l’est pas toujours. En effet, c’est la donnée qui est la plus collectée, alors que celle-ci n’a fréquemment pas d’utilité pour les besoins de certaines applications. Par ailleurs, quand bien même l’utilisateur peut désactiver la géolocalisation de sa position, il se trouve néanmoins dans l’impossibilité de pouvoir agir sur la fréquence à laquelle l’information est collectée. La CNIL met en garde contre le risque « d’intrusion dans les habitudes et les comportements des utilisateurs ».
Selon l’étude Mobilitics, 1/ 4 à 1/3 des applications ont eu accès à la géolocalisation. Plus concrètement, une application d’un réseau social a pu accéder par exemple 150 000 fois en 3 mois à cette donnée. Une autre application de jeu a pu avoir accès à la géolocalisation 3000 fois en un trimestre. Plus choquant encore, une application a accédé à la géolocalisation plus d’un million de fois en trois mois, l’équivalent d’un accès par minute. Les chiffres semblent ainsi alarmants. La géolocalisation est-elle vraiment une donnée anodine ? Il est opportun de s’interroger. Selon la CNIL, cette géolocalisation accrue pose problème dès lors que l’accès à ces données soulève d’autres problématiques notamment au regard de la protection de la vie privée des individus, qui peut sembler en danger. Ainsi, le smartphone apparaît désormais comme un « instrument qui permet la localisation » de son utilisateur de façon permanente. Toutefois, la géolocalisation n’est pas la seule donnée récoltée et la méfiance semble ainsi généralisée.
Une récolte surprenante des identifiants
Les données de l’utilisateur ne sont pas les seules qui intéressent les applis. En effet, les données issues du téléphone même sont souvent récoltées. L’étude Mobilitics saison 2 a également permis de mettre en évidence l’accès des applications aux identifiants du smartphone. S’agissant d’Android, 24 applications sur 121 ont accédé à l’IMEI qui permet de bloquer un téléphone perdu ou volé. L’étude Mobilitics saison 1 évoquait également la collecte d’identifiants. L’identifiant UDID, identifiant unique du téléphone intégré au smartphone par Apple a été récolté par près de la moitié des applications (87 applications sur 189).
La réunion de l’ensemble des informations collectées permet une publicité très ciblée vis-à-vis de l’individu. Cette nouvelle forme de publicité est toutefois souvent désormais dénoncée par les utilisateurs en raison de son caractère fortement « intrusif ».
Des solutions possibles pour une meilleure protection des données et de l’utilisateur
Si le constat peut inquiéter et alarmer, des hypothèses semblent pouvoir être envisagées pour un renforcement de la protection des données. Ainsi, la CNIL a émis un certain nombre de recommandations pour que les utilisateurs puissent être effectivement maîtres de leurs données. Toutefois, pour la CNIL, la coopération entre les différents acteurs s’avère être indispensable et exige la mobilisation de l’ensemble des acteurs. Parmi ces différentes préconisations, la CNIL incite les développeurs d’applications « à prendre en compte davantage le respect de la vie privée lors de la conception d’applications », et invite les magasins d’applications à « renforcer l’information des utilisateurs ». Par ailleurs, elle conseille aux éditeurs de systèmes d’exploitation de mettre en place des « tableaux de bord d’accès ». Enfin, toujours selon la CNIL, les acteurs tiers (souvent inconnus des utilisateurs) qui vont créer des applications, doivent également réduire le nombre de données collectées et participer au renforcement de l’information des utilisateurs.
La mobilisation des différents acteurs est donc nécessaire, mais ils ne doivent pas être seuls. En effet, l’utilisateur ne peut rester passif et doit également être mobilisé. A ce titre, la CNIL a publié un certain nombre de « conseils » disponibles sur son site internet pour les utilisateurs de smartphones sous Android notamment, afin que ces derniers puissent avoir une « maîtrise effective de la collecte de leurs données personnelles ». Ces nombreux conseils peuvent également s’appliquer aux utilisateurs de tous les smartphones. Bien que cette problématique nous concerne aujourd’hui tous, à mon sens, il conviendrait surtout de sensibiliser les plus jeunes, souvent de grands consommateurs d’applis mobiles à ces questions dès lors qu’ils sont généralement moins vigilants. Ainsi, la maîtrise des réglages par l’utilisateur même pourrait être un premier pas vers une meilleure protection des données personnelles, qui semble aujourd’hui manifestement toujours faire défaut.
Sources :
La lettre innovation et prospective de la CNIL, n°8, novembre 2014 « Mobilitics, saison 2 : les smartphones et leurs apps sous le miscroscope de la CNIL et d’Inria », Cnil.fr, publié en novembre 2014, consulté le 20 janvier 2015 < http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/DEIP/Lettre_IP_N-8-Mobilitics.pdf>
ANONYME, « Mobilitics saison 2 : nouvelle plongée dans l’univers des smartphones et de leurs applications mobiles », Cnil.fr, publié le 15 décembre 2014, consulté le 17 janvier 2015, < http://www.cnil.fr/linstitution/actualite/article/article/mobilitics-saison-2-nouvelle-plongee-dans-lunivers-des-smartphones-et-de-leurs-applications/>
ANONYME, « Plus d’applications sous Android que sous iOS », Leparisien.fr, publié le 15 janvier 2015, consulté le 17 janvier 2015 < http://www.leparisien.fr/high-tech/plus-d-applications-sous-android-que-sous-ios-16-01-2015-4454957.php>
ANONYME, « Smartphones users Worldwide will total 1.75 billion in 2014 », Emarketer.com, publié le 16 janvier 2014, consulté le 21 janvier 2015, <http://www.emarketer.com/Article/Smartphone-Users-Worldwide-Will-Total-175-Billion-2014/1010536>
GAVOIS (S.), « Mobilitics : la CNIL se penche sur les smartphones et les applications Android », Nextinpact.com, publié le 15 décembre 2014, consulté le 17 janvier 2015, <http://www.nextinpact.com/news/91408-apres-ios-cnil-se-penche-sur-smartphones-et-applications-android.htm>
INNOCENTE (F.), « La CNIL s’intéresse à la curiosité des apps Android », Igen.fr, publié le 15 décembre 2014, consulté le 18 janvier 2015, <http://www.igen.fr/android/2014/12/la-cnil-sinteresse-la-curiosite-des-apps-android-88983>