Voyage au cœur des smartphones et des applications mobiles avec la CNIL et Inria

Beaucoup plus qu'un simple téléphone, le smartphone est un compagnon de tous les instants et un véritable ordinateur de poche pour gérer le quotidien, s'informer, se divertir. Il comporte aussi un ensemble de capteurs embarqués ou connectés. Le smartphone a donc une place à part dans la galaxie des appareils numériques et joue un rôle de " hub de notre vie digitale ". Pourtant, les utilisateurs savent très peu de choses sur ce qui se passe à l'intérieur de ces " boîtes noires " qui contiennent beaucoup d'informations sur eux. Par exemple, la liste complète des applications présentes sur un smartphone en dit long sur le comportement, les goûts, les moyens et les modes de vie des personnes. Par ailleurs, les smartphones sont au cœur d'un écosystème complexe composé de plusieurs acteurs : fabricants d'appareils et fournisseurs, développeurs de systèmes d'exploitation et d'applications, magasins d'applications, opérateurs de téléphonie, tiers fournisseurs de services. C'est dans ce contexte que le G29 (groupe des CNIL européennes) a publié un avis le 14 mars 2013, dans lequel il formule des recommandations à destination de ces grandes catégories d'acteurs. Dans le cadre d'un plan d'action plus global sur " smartphones et vie privée ", la CNIL a décidé de s'appuyer sur son laboratoire d'innovation et sur la Convention de partenariat entre la CNIL et Inria signée en 2011.
Fin 2011 un projet de recherche et développement  intitulé Mobilitics a été initié. Ce projet constitue une première pour la CNIL. Il consiste à analyser en profondeur les données personnelles enregistrées, stockées et diffusées par le smartphone. Il s'agit aussi de favoriser par la suite des innovations et des nouveaux services durables, protecteurs des droits des utilisateurs.

Mobilitics : une expérimentation in vivo

De nombreux travaux internationaux ont cherché à montrer les circulations de données des smartphones.  Ces travaux se basent souvent sur des analyses " in vitro "  consistant à sélectionner des applications parmi les plus téléchargées et à les analyser en laboratoire. Les outils de capture et de visualisation ont été développés par Inria. La CNIL étant en charge de l'expérimentation "in vivo" et de l'analyse préliminaire L'approche de Mobilitics est complémentaire de ces travaux, puisqu'elle constitue une expérience " in vivo ", fonctionnant sur des téléphones utilisés par des individus de la manière la plus naturelle possible. Le projet Mobilitics a consisté à développer un outil capable de détecter et d'enregistrer les accès à des données personnelles par des applications ou programmes internes du téléphone (accès à localisation, aux photos, au carnet d'adresses, à des identifiants du téléphone, etc.). Cet outil a nécessité un an de développement. Il concerne, dans un premier temps, les smartphones fonctionnant sous le système d'exploitation mobile d'Apple (iOS). L'outil  concernant le système d'exploitation Android de Google devrait être opérationnel dans les semaines qui viennent. Concrètement, la CNIL et Inria ont installé cet outil sur 6 iPhones appartenant au laboratoire de la CNIL. Pendant 3 mois, des volontaires de la CNIL ont accepté d'utiliser ces smartphones comme s'ils leur  appartenaient. Il s'agit donc d'une démarche expérimentale portant sur un nombre limité d'utilisateurs et d'applications, qui, dans ce contexte déterminé, permet d'étudier dans le temps, l'évolution des accès aux données personnelles.

Premiers constats

• des accès réseaux nombreux et quasi permanents sans une information claire des utilisateurs 
• 9 applications sur 10 accèdent à internet, ce qui ne se justifie pas toujours (jeux)
• quelques applications sont à l'origine des accès à la grande majorité des données, avec une intensité qui semble dépasser le seul besoin des fonctions de ces applications
• certaines applications accèdent à des données sans lien direct avec une action de l'utilisateur ou un service offert par l'application (récupération de l'identifiant unique, du nom de l'appareil, de la localisation).
• La géolocalisation, reine des données sur smartphone

Presqu'un tiers des applications utilisées par nos volontaires ont accédé à la géolocalisation. Il s'agit donc de la donnée la plus intensément consommée : près de 41 000 événements de géolocalisation pour 6 personnes en 90 jours, soit une moyenne de 76 événements par volontaire par 24 heures. Que ce soit de façon délibérée, par facilité ou en raison d'une erreur de développement, cela conduit à une permanence des accès à la localisation par une pléiade d'applications.

1. Des accès nombreux à une donnée en apparence inutile et anodine : le nom de l'appareil

Sur un appareil Apple, un nom d'appareil est attribué à chaque machine et peut être modifié à loisir par le propriétaire. Au total, 36 applications, soit un peu plus de 15% ont accédé à cette information.
L'usage qui peut être fait de cette donnée est assez flou. On peut imaginer que les développeurs l'utilisent pour faire des analyses sur l'usage de l'application, voire pour essayer d'identifier une personne disposant de plusieurs appareils.

2. Les outils d'identification et de traçage envahissent les smartphones

Les développeurs captent massivement des données leur permettant de tracer les utilisateurs. De nombreuses applications récupèrent ainsi l'identifiant unique du téléphone (UDID). Cet identifiant intégré dès l'achat à l'appareil par Apple ne peut pas être modifié par l'utilisateur. 87 applications sur les 189 utilisées ont accédé à l'UDID, soit presque 50% et 33 l'ont transmis en clair, plusieurs fois durant l'expérimentation. A titre d'exemple, l'application d'un quotidien a accédé 1989 fois à l'identifiant unique du téléphone et l'a transmis 614 fois à l'éditeur de l'application. Apple a annoncé que, prochainement, il ne permettrait plus aux développeurs d'accéder à cette information. Il a introduit de nouveaux identifiants dédiés au ciblage publicitaire. Toutefois, la question de l'information et du contrôle de l'utilisateur sur ces identifiants demeure. Cela est d'autant plus vrai que la problématique des cookies prend de l'ampleur au sein de l'écosystème des applications mobiles. S'il est déjà très difficile d'effacer les traqueurs sur son ordinateur, rien n'est aujourd'hui possible concernant ceux présents à l'intérieur des applications mobiles.

3. De nombreux acteurs économiques, invisibles pour les utilisateurs

De nombreux acteurs tiers sont destinataires de données, par l'intermédiaire d'outils d'analyse, de développement ou de monétisation présents dans les applications. Les analyses permettent d'identifier plusieurs acteurs recevant des informations récupérées par l'intermédiaire de  cookies spécifiques aux applications. Les acteurs classiques du traçage en ligne sont déjà très présents au sein de certaines applications mais les chiffres montrent également l'émergence d'acteurs nouveaux dédiés au mobile.

4. Une mobilisation nécessaire de l'ensemble des acteurs de la chaîne

Il incombe à chaque acteur de l'écosystème des smartphones de respecter l'ensemble des règles applicables en matière de protection des données :

• les développeurs d'application doivent intégrer dès le départ les problématiques Informatique & Libertés dans une démarche de privacy by design. La CNIL souhaite développer l'accompagnement des acteurs à cette fin. Plusieurs équipes Inria travaillent sur la protection de la vie privée et la société de l'Information, et notamment  sur des systèmes/architectures privacy by design.
• les magasins d'application doivent inventer des modes innovants d'information des utilisateurs et de recueil du consentement. La situation actuelle, binaire, du " à prendre ou à laisser " n'est pas satisfaisante.
• les paramètres et réglages présents dans les systèmes d'exploitation pour smartphones sont insuffisants. Un contrôle plus fin pourrait être proposé sans pour autant dégrader l'expérience utilisateur. Dans le cadre du projet Mobilitics, la CNIL et Inria ont développé, à titre expérimental, une démonstration des réglages qui pourraient être proposés par le fournisseur du système d'exploitation.
• les acteurs tiers qui fournissent des services et des outils aux développeurs ne doivent collecter que les données nécessaires et ce, en toute transparence, vis-à-vis du développeur et par voie de conséquence vis-à-vis de l'utilisateur final.

La CNIL et Inria vont poursuivre leurs recherches dans le cadre du projet Mobilitics, notamment sur les autres fournisseurs de systèmes d'exploitation du marché, ce qui permettra de suivre dans le temps les progrès accomplis par l'ensemble des acteurs.  

(1) Médiamétrie, Septembre 2012.