Après avoir déjà épinglé les applications mobiles pour iOS pour leur indiscrétion, un rapport de la CNIL épingle cette fois Android Jelly Bean.
Notamment en récupérant la géolocalisation de son utilisateur, il est connu que les applications mobiles sont particulièrement indiscrètes en collectant des données personnelles de mobinautes sans que celui-ci soit au courant. Dans un précédent rapport, la CNIL avait épinglé les applications mobiles pour iOS. Cette fois, ce sont les applications mobiles pour Android Jelly Bean qui sont pointées du doigt.
C’est en collaboration avec l’INRA que la Commission nationale informatique et libertés (CNIL) a décortiqué 121 applications fonctionnant avec Android Jelly Bean, le système d’exploitation mobile de Google. Le verdict est sans appel : deux applications sur trois récupèrent des données personnelles à l’insu de leurs utilisateurs.
Au niveau des données collectées :
· 66% des applications étudiées communiquent sur le réseau
· 34% accèdent à l’Android ID
· 24% accèdent à la géolocalisation
· 23% récupèrent le nom de l’opérateur
· 20% obtiennent l’identité de l’équipement mobile (IMEI)
· 17% accèdent au carnet d’adresses
· 7% connaissent l’adresse MAC du Wi-Fi
· 6% accèdent au numéro de téléphone
· 5% lisent l’identifiant de carte SIM (ICCID)
· 4% accèdent à la liste des points d’accès Wi-Fi (SSID)
· 3% accèdent au calendrier
Cette indiscrétion des applications mobiles sans le consentement des mobinautes vise essentiellement à récupérer des données personnelles dans le but de proposer de la publicité ciblée. Dans ce sens, la géolocalisation et les identifiants sont des données très prisées.
Selon Geoffrey Delcroix, chargé d’étude pour la CNIL, « La géolocalisation est la donnée reine sur les smartphones […] La fréquence avec laquelle l’application demande les données de géolocalisation sont étonnantes […] On a du mal à relier cela avec des fonctionnalités de l’application ».
Si l’utilisation des données de géolocalisation peut être parfaitement légitime dans le cas d’une application de cartographie par exemple, pourquoi les jeux y accèdent alors que cela n’apporte aucune fonctionnalité supplémentaire au programme ? Geoffrey Delcroix explique qu’« Avec un faible coût de stockage, notre hypothèse est que les éditeurs récupèrent quantité de données en attendant de savoir comment les valoriser ».
La CNIL précise que la géolocalisation représente à elle seule « plus de 30% des évènements détectés, sans être toujours liés à des fonctionnalités offertes par l’application ou à une action de l’utilisateur ». La Commission va même jusqu’à donner l’exemple d’une application de réseau social qui a accédé 150 000 fois aux données de géolocalisation d’un des testeurs en trois mois.
Tous ces écosystèmes qui vivent de la publicité sont friands des identifiants. C’est ainsi que l’étude relève que ces données relatives au nom du téléphone, du propriétaire, ou encore à l’historique des bornes Wi-Fi utilisées servent à constituer des profils publicitaires pour mieux pister le mobinaute. Sur Android, « un quart des applications ont accédé à deux identifiants ou plus », précise l’étude.
C’est pour ces raisons que la CNIL pointe du doigt le système de permission Android qui est trop complexe, trop grossier, trop défavorable à l’utilisateur. Il est également fait mention que Google ne veut rien améliorer de ce côté vu que le panneau de contrôle de vue privée qui existait dans Android 4. a été retiré des versions suivantes.
Afin de contrer cette situation, la CNIL a utilisé Twitter pour publier deux courts modes d’emploi sur la façon de désactiver, en tout cas partiellement, le suivi publicitaire sur Android et iOS.
Pour finir, la CNIL rappelle que les bonnes pratiques en la matière consistent avant tout à limiter le nombre d’applications mobiles, d’éviter de se connecter aux réseaux Wi-Fi publics, ou encore de s’assurer que les applications ne tournent pas en tâche de fond, car « La source la plus importante de données sont les applications qui tournent en tâche de fond ». Elles sont malheureusement très nombreuses à adopter ce principe de fonctionnement.