Les cookies nous permettent de personnaliser les annonces. Nous partageons des informations sur l'utilisation de notre site
avec nos partenaires de publicité, qui peuvent combiner celles-ci avec d'autres informations que vous leur avez fournies ou
qu'ils ont collectées lors de votre utilisation de leurs services. En déclinant l'usage des cookies, vous acceptez de perdre
le bénéfice de magnifiques annonces et de promotions exceptionnelles.
En savoir plus
Autorisez-vous le site www.codes-et-lois.fr à conserver des cookies dans votre navigateur ?
Depuis 3 ans, la CNIL et Inria travaillent ensemble pour comprendre l'écosystème des smartphones. Les résultats du projet Mobilitics montrent que les accès aux données personnelles sont à la fois massifs et peu visibles pour les utilisateurs. Les éditeurs d'applications et leurs fournisseurs de services ou partenaires commerciaux doivent donc intensifier leur effort d'information des utilisateurs, sans s'abriter derrière des contraintes techniques. En la matière, les éditeurs de système...
Dès 2011, la CNIL avait souligné le recours massif des utilisateurs de smartphones aux applications téléchargeables, dans un sondage Smartphones et données personnelles. Depuis, la tendance n'a fait que s'accentuer : aujourd'hui, les mobinautes et tablonautes ont en moyenne une trentaine d'applications sur leur appareil, alors que les magasins d'application proposent plus d'un million d'applications au téléchargement. Certaines applications sont payantes, beaucoup sont gratuites (et rémunérées soit par de la publicité, soit par des achats liés). Pour comprendre cet écosystème, la CNIL a souhaité se doter d'un outil d'analyse. Développé avec Inria, Mobilitics a été installé sur des smartphones que des agents de la CNIL ont utilisé à la place de leur téléphone personnel pendant 3 mois.
Rappel : Mobilitics saison 1 (iOS)
Dès la première vague de tests sous iOS, trois enseignements, rendus publics en avril 2013, avaient été tirés :
le statut particulier de la géolocalisation, reine des données du smartphone ;
la tendance des développeurs et éditeurs d'applications à recourir à des stratégies d'identification aux objectifs très divers (mesures d'audience, statistiques d'utilisation, analytics, monétisation et publicité...) ;
la difficulté à corréler les accès aux données avec des actions de l'utilisateur ou des besoins légitimes des applications.
Mobilitics Saison 2 (Android)
Les résultats de l'expérimentation avec des téléphones Android, développés dans la lettre IP n°8, sont convergents avec ces premiers constats de 2013. Les constats et préconisations de la CNIL portent donc désormais sur près de 90% des smartphones en France (environ 66% sont équipés du système d'exploitation Android de Google et 20% du système d'exploitation iOS d'Apple).
Ces résultats prouvent que les informations et les outils de maitrise mis à la disposition des utilisateurs sur smartphone restent limités et insuffisants au regard du volume de données collectées sur ces appareils. Plusieurs caractéristiques de l'écosystème peuvent être relevées :
1) La course aux identifiants
Un smartphone contient bon nombre d'identifiants techniques, matériels ou logiciels. Les applications accèdent souvent à ces identifiants, pour des besoins qui leurs sont propres (dont la constitution de profils publicitaires). Sur iOS comme sur Android, entre 50 et 60% des applications testées ont accédé à des identifiants du téléphone.
Les fabricants de systèmes d'exploitation, conscients du risque de surexploitation des identifiants, essayent parfois de limiter les usages de chaque identifiant par des moyens techniques ou juridiques. Cependant, les applications récupèrent souvent plusieurs identifiants différents dans le même appareil (sur Android, un quart des applications ont accédé à 2 identifiants ou plus).
2) Un GPS dans votre poche
La localisation est la donnée reine dans l'environnement des smartphones. Elle joue un rôle clé pour les services les plus utiles (car contextualisés) mais peut aussi constituer une intrusion importante dans les habitudes et comportements de la personne.
Entre un quart et un tiers des applications accèdent à la localisation. Mais ce qui retient l'attention, c'est la fréquence d'accès. Ainsi, une application de service de réseau social a pu accéder 150 000 fois en 3 mois à la localisation d'un de nos testeurs. Cela représente un accès en moyenne par minute. Certaines applications qui ont obtenu l'autorisation (générique) d'accéder à la localisation ne se privent donc pas de l'utiliser, même lorsque l'application n'est pas visible à l'écran. D'une manière générale, beaucoup d'applications accèdent très souvent à la localisation (ainsi, plus de 3 000 fois en 3 mois pour un jeu).
En volume, la géolocalisation est aussi la donnée la plus collectée : elle représente à elle seule plus de 30% des évènements détectés, sans être toujours liée à des fonctionnalités offertes par l'application ou à une action de l'utilisateur.
3) Le système d'exploitation, principal maître à bord de votre smartphone
L'éditeur du système d'exploitation n'est pas un acteur comme les autres : il définit les règles que les éditeurs d'applications doivent respecter. Il définit aussi quelles informations et quels outils de maîtrise sont à disposition de l'utilisateur. En fonction de leur stratégie, Apple (pour iOS), Google (pour Android) ou Microsoft (pour Windows Mobile) sont dans une situation privilégiée pour collecter et traiter des données. Certains services étant installés par défaut (et parfois impossibles à désinstaller), l'utilisateur n'a souvent pas d'autre choix que de laisser ces services accéder à des données. Certains de ces services sont particulièrement gourmands en matière de données. Par exemple, une application installée par défaut pour un de nos testeurs a procédé à plus d'un million d'accès à la localisation en 3 mois.
Conformément à l'avis du G29 d'avril 2013 concernant les applications mobiles, la CNIL souhaite que l'ensemble des acteurs de l'écosystème (éditeurs d'application, éditeurs des systèmes d'exploitation et responsables des magasins d'applications, tiers fournisseurs de services et d'outils) prenne la juste mesure de leurs responsabilités respectives pour améliorer l'information et les outils de maitrise des données personnelles. Les grands acteurs des systèmes d'exploitation et magasins d'applications ont un rôle clé à jouer. Si les nouvelles versions des systèmes d'exploitation sont souvent l'occasion de changements positifs dans les outils disponibles, ces efforts doivent se poursuivre. Les développeurs, éditeurs d'application et leurs partenaires (par exemple les fournisseurs de solutions d'analytics, de monétisation, etc.) doivent quant à eux minimiser les collectes de données qui ne sont pas liées au service rendu par l'application et adopter une approche de privacy by design, plus respectueuse du droit des utilisateurs.
