On compte 24 millions de détenteurs de smartphones en France et 1 million d’applications disponibles. Mais les utilisateurs sont peu au courant de ce qu’il se passe dans ces minis ordinateurs très performants, contenant leurs informations personnelles. La CNIL et Inria travaillent depuis un an ensemble sur l’analyse des données enregistrées, stockées et diffusées par ces téléphones. La CNIL s’est appuyée sur son laboratoire interne d’innovation et Inria sur son équipe de recherche PRIVATICS dans le cadre de leur projet expérimental, Mobilitics, et le verdict est tombé le 9 avril dernier.
[image:1,l]
Bien plus qu’un vulgaire téléphone, le smartphone est un véritable ordinateur de poche pour gérer le quotidien, s’informer et se divertir, grâce à ses divers capteurs embarqués, ou connectés. Pourtant, peu d’utilisateurs savent ce qui peut se passer sous sa coque. Afin de protéger les droits des utilisateurs et de favoriser les innovations et les nouveaux services durables, fin 2011 démarrait le projet de recherche et développement Mobilitics, consistant à analyser de façon exhaustive l’ensemble des données personnelles transitant par un smartphone.
90% des applications accèdent à Internet, alors que ce n’est pas toujours justifié
Le projet Mobilitics a permis de créer un outil capable de détecter et d’enregistrer les accès aux données personnelles par des applications ou programmes internes du téléphone (localisation, photo, carnet d’adresses, identifiants du téléphone etc.). Il s’est d’abord appliqué aux smartphones fonctionnant sous le système d’exploitation mobile d’Apple (iOS). Dans les semaines à venir, Android de Google devrait être testé. De fait, la CNIL et Inria ont installé cet outil sur 6 iPhones du laboratoire de la CNIL et les ont ensuite, durant 3 mois, alloués à des volontaires pour un usage personnel.
Premiers constats : « 9 Go de données récoltées, 7 millions d’événements analysables, 189 applications utilisées et 41 000 événements de géolocalisation, soit 76 événements par jour et par volontaire ».
Mobolitics a pu constater de nombreux accès au réseau, quasi permanents sans information précise pour l’utilisateur, 90% des applications accèdent à internet, alors que ce n’est pas toujours justifié (jeux). « Quelques applications sont à l’origine des accès à la grande majorité des données, avec une intensité qui semble dépasser le seul besoin des fonctions de ces applications. » dénote la CNIL, ajoutant que « certaines applications accèdent à des données sans lien direct avec une action de l’utilisateur ou un service offert par l’application (récupération de l’identifiant unique, du nom de l’appareil, de la localisation). »
L’étude montre que la géolocalisation est une donnée largement consommée, avec une moyenne de 3h au plus entre chaque accès à la géolocalisation des sujets, sans qu’ils le sachent. Vis-à-vis des accès nombreux au nom de l’appareil, l’étude précise que sur un appareil Apple, le nom de l’appareil est unique pour chaque machine et peut être modifié aussi souvent par le détenteur qu’il le souhaite. Cette donnée est accessible par un peu plus de 15% des applications. « L’usage qui peut être fait de cette donnée est assez flou. On peut imaginer que les développeurs l’utilisent pour faire des analyses de l’application, voire pour essayer d’identifier une personne disposant de plusieurs appareils. » déclare la CNIL.
Introduire de nouveaux identifiants spéciaux pour le ciblage publicitaire
En pratique, les développeurs captent en majorité des données de traçage d’utilisateurs, comme par exemple l’UDID qui est l’identifiant unique du téléphone intégré dès l’achat à l’appareil par Apple et qui n’est par contre pas modifiable par la suite. Quasi 50% des applications accèdent à l’UDID, dont 33 qui le transmettent en clair et de façon répétée. Selon la CNIL « l’application d’un journal a accédé 1989 fois à l’identification unique du téléphone et l’a transmise 614 fois à l’éditeur de l’application. »
Apple promet de ne plus laisser les développeurs accéder à ce genre de données et compte introduire de nouveaux identifiants spéciaux pour le ciblage publicitaire. Mais le problème du contrôle de l’information par le propriétaire reste inchangé. « S’il est déjà difficile d’effacer les traqueurs sur son ordinateur, rien n’est aujourd’hui possible concernant ceux présents à l’intérieur des applications mobiles. », conclut la CNIL.
De plus, les données transitent vers des acteurs tiers grâce aux outils d’analyse, de développement et de monétisation contenus dans les applications. Ainsi on retrouve sans surprise les acteurs classiques du traçage, mais aussi d’autres comme certains dédiés au monde du mobile.
Selon la CNIL, « il incombe à chaque acteur de l’écosystème des smartphones de respecter l’ensemble des règles applicables en matière de protection des données. » D’une part, les développeurs doivent intégrer les problématiques Informatique & liberté selon la logique de privacy by design. La CNIL et Inria s’engagent à les aider dans ce but. D’autre part, les magasins d’application doivent changer de mode de recueillement de consentement.
De plus, les paramètres et réglages présents dans les systèmes d’exploitation des smartphones sont jugés insuffisants.
Enfin, les acteurs tiers fournissant services et outils de développement ne devraient collecter que les données nécessaires, et ce en toute transparence afin d’assurer un service de qualité pour le consommateur.