La semaine dernière, la CNIL et l’INRIA avaient annoncé qu’ils publieraient une étude complète sur les données personnelles transitant sur les smartphones sous Android. L’étude vient de paraître et le constat est inquiétant pour la protection de la vie privée.

données privées

La CNIL a réalisé, du mois de juin à septembre 2014, une enquête portant sur l’utilisation des données personnelles sous Android Jelly Bean. Nommée Mobilitics saison 2 (la saison 1 concernait iOS en 2012), le but de l’opération était de mesurer, sur 121 applications du Play Store, le nombre de logiciels qui accédaient à certaines données personnelles comme la géolocalisation, le carnet d’adresse, le nom de l’opérateur ou encore le numéro de téléphone de l’utilisateur. Les résultats pointent du doigt une utilisation démesurées de ces données.

CNIL Android données personnelles

1 millions d’accès au GPS en 3 mois

En effet, à titre d’exemple, 24% des applications accédaient à la géolocalisation. Les auteurs de l’étude prennent l’exemple de deux applications (sans les nommer) qui ont accédées plus d’un million de fois à la localisation de l’utilisateur pour l’une et 700 000 fois pour une autre. Tout cela en 3 mois seulement, alors qu’elles ne constituaient pas des applications de navigation. L’étude pose la question de la méthode de développement. En effet, pour plus de facilité, il est possible que certains développeurs soient tentés de récupérer régulièrement la géolocalisation, au cas où, si l’utilisateur en a besoin, au lieu de l’activer uniquement lorsque cela est nécessaire. Si ce n’est pas le cas, cela signifie que les éditeurs récoltent sciemment des grandes quantités de données personnelles pour alimenter des bases internes.

 

Les identifiants uniques, le nerf de la guerre

La CNIL met ensuite l’accent sur les identifiants récupérés par les applications. Cette fonctionnalité est surtout utilisée pour suivre (tracker) le parcours de l’utilisateur sur son smartphone et sur Internet. Ainsi, les applications ne se privent pas d’accéder à l’IMEI, à l’Android_ID, à l’IMSI sur la carte SIM, à l’adresse MAC de la puce Wi-Fi, au numéro de la carte SIM ou encore à la liste des identifiants des points d’accès Wi-Fi (Wifi_SSID). Des identifiants pratiques pour le suivi publicitaire. Depuis août 2014, Google impose aux développeurs d’utiliser un identifiant spécial (advertising ID) que l’utilisateur peut réinitialiser quand bon lui semble pour « effacer » son historique. Il est aussi possible de désactiver avec plus ou moins d’efficacité ce suivi publicitaire dans les Paramètres Google (désactiver les annonces par centres d’intérêt).

 

La balle dans le camp des développeurs … et de Google

Finalement, même si les développeurs sont au coeur du problème, Apple et Google ont eux aussi un rôle important à jouer puisque c’est eux qui développent respectivement iOS et Android. C’est donc eux qui imposent les règles du jeu. D’ailleurs, la CNIL a relevé que le Play Store est l’une des plus grosses consommatrices de données en ayant accédé 1 300 000 fois à la localisation cellulaire et 290 000 fois au GPS.

La CNIL souhaite donc qu’Apple et Google montrent le chemin à prendre et poussent les développeurs à faire de même. Toutefois, quand on sait que l’empire de Google est notamment basé sur la collecte des données personnelles de l’utilisateur, on peut émettre des doutes sur la volonté du géant d’aller sur la voie du privacy by design.