Internet Sweep day : des applications mobiles peu transparentes sur le traitement de vos données
RSS CNIL - , 16/09/2014
En mai 2014, la CNIL et 26 de ses homologues dans le monde ont mené un audit en ligne simultané de plus de 1 200 applications mobiles. Cette opération montre que l'information sur l'utilisation faite des données personnelles est insuffisante.
Que ce soit pour s'informer, s'orienter ou connaitre la météo, les utilisateurs de terminaux mobiles (smartphones ou tablettes) téléchargent régulièrement de nouvelles applications.
En mai dernier, 27 autorités de protection des données dans le monde, rassemblées au sein du Global Privacy Enforcement Network (GPEN - réseau d'organismes agissant au sein de l'OCDE pour la protection de la vie privée) ont mené une opération conjointe d'audit en ligne. Il s'agissait cette année de vérifier si l'information relative aux données personnelles dispensée par les principales applications mobiles est satisfaisante.
Au total, 1211 applications mobiles ont été examinées : applications gratuites et payantes, tous secteurs confondus, allant des jeux au quantified self, en passant par la gestion des comptes bancaires, etc.
Les vérifications ont principalement porté sur :
- le type de données collectées par les applications,
- le niveau d'information des utilisateurs,
- la qualité des explications données par l'application concernant le motif de la collecte de ces données.
Les constats communs au différents pays participants au Sweep day 2014
Concernant la collecte des données personnelles :
- La collecte est généralisée puisqu'elle concerne les 3/4 des applications examinées ;
- les données les plus collectées sont : la localisation, l'identifiant du terminal mobile, ainsi que les données d'accès à des comptes utilisateurs. Si pour certaines de ces données, leur collecte est justifiée par la finalité de l'application, pour d'autres cette collecte semble moins évidente.
Concernant l'information sur l'utilisation des données personnelles :
- pour près de la moitié des applications, l'information est difficile à trouver (consultation de la politique de confidentialité sur le site internet du développeur) ou inadaptée à un écran de petite taille ;
- seul un quart des applications fournit une information satisfaisante, sous la forme d'explications brèves et faciles à comprendre.
Les spécificités françaises
La CNIL a examiné 121 applications parmi les plus populaires en France et ce, à partir des 3 principaux systèmes d'exploitation. Les tendances générales sont comparables à celles décrites au niveau mondial.Les données les plus collectées :
(Cliquer sur l'image pour l'agrandir)
- 15% des applications examinées ne fournissent aucune information sur le traitement des données collectées.
- Lorsqu'une information est fournie, près de la moitié des applications concernées ne la rendent pas facilement accessible, imposant à l'utilisateur une recherche active sur le site internet de l'éditeur ou dans les différents onglets de l'application.
- L'information n'est pas suffisamment claire et compréhensible dans la plupart des cas. Il a ainsi été constaté que les mentions d'information de certaines applications à destination d'utilisateurs français ne sont disponibles qu'en anglais.
Les conseils de la CNIL :
- A destination des développeurs : la qualité de l'information et la transparence sur l'utilisation des données personnelles constituent des éléments déterminants de la confiance de vos utilisateurs. Faites de vos avancées concrètes sur ces deux points un atout concurrentiel !
- A destination des utilisateurs : soyez curieux, vigilants et exigeants ! Il existe un large choix d'applications offrant des services similaires, détournez vous de celles qui en demandent le plus et en disent le moins !