La CNIL trouve nos iPhone vraiment trop bavards
Par Arnaud Morel - Publié le
Le projet Mobilitics a consisté à développer un outil capable de détecter et d'enregistrer les accès à des données personnelles par des applications ou programmes internes du téléphone (accès à localisation, aux photos, au carnet d'adresses, à des identifiants du téléphone, etc.). Cet outil a nécessité un an de développement. Il concerne, dans un premier temps, les smartphones fonctionnant sous le système d'exploitation mobile d'Apple (iOS). L'outil concernant le système d'exploitation Android de Google devrait être opérationnel dans les semaines qui viennent. Concrètement, la CNIL et Inria ont installé cet outil sur 6 iPhones appartenant au laboratoire de la CNIL. Pendant 3 mois, des volontaires de la CNIL ont accepté d'utiliser ces smartphones comme s'ils leur appartenaient.
L'organisme publie aujourd'hui les résultats de son enquête. Ceux-ci sont assez accablants, même si peu de détails sont donnés. Voici les grandes lignes des découvertes de Mobilitics :
• des accès réseaux nombreux et quasi permanents sans une information claire des utilisateurs
• 9 applications sur 10 accèdent à internet, ce qui ne se justifie pas toujours (jeux)
• quelques applications sont à l'origine des accès à la grande majorité des données, avec une intensité qui semble dépasser le seul besoin des fonctions de ces applications
• certaines applications accèdent à des données sans lien direct avec une action de l'utilisateur ou un service offert par l'application (récupération de l'identifiant unique, du nom de l'appareil, de la localisation).
•La géolocalisation, reine des données sur smartphone. Presqu'un tiers des applications utilisées par nos volontaires ont accédé à la géolocalisation. Il s'agit donc de la donnée la plus intensément consommée : près de 41 000 événements de géolocalisation pour 6 personnes en 90 jours, soit une moyenne de 76 événements par volontaire par 24 heures. Notez, bien sûr, que la localisation est l'objet de certaines fonctions très usitées des smartphones : applications de plans, GPS, localisation "sociale et bien sûr photos géomarquées.
• 15 % des applications accèdent... Au nom du téléphone
• 50 % des application accèdent à l'UDID (unique device identifier), applications qui désormais sont rejetées, Apple privilégiant une identification par le biais du Vendor or Advertising identifiers introduit avec iOS 6.
• De nombreux acteurs tiers sont destinataires de données, par l'intermédiaire d'outils d'analyse, de développement ou de monétisation présents dans les applications. Il s(agit d'entreprises comme Google, ou Xiti, qui proposent des pubs ciblées et des mesures d'audience.
Au final, le constat de la CNIL, est assez accablant : oui, nos smartphones sont très (trop) bavards. Ceci étant posé, il reste difficile, dans la méthodologie suivie de tirer des conclusions définitives. Les données de géolocalisation sont utilisées de manière importante pour les besoins même de l'utilisateur, tandis qu'une belle part de "l'espionnite" publicitaire sert de base au modèle freemium, décrié mais qui démontre aussi son implacable efficacité.
L'organisme glisse quelques pistes d'évolution souhaitables : les développeurs d'application doivent intégrer dès le départ les problématiques Informatique & Libertés dans une démarche de
privacy by design, les magasins d'application doivent inventer des modes innovants d'information des utilisateurs et de recueil du consentement, les constructeurs permettent de réglages plus fins concernant les informations transmises, tandis que les acteurs tiers qui fournissent des services et des outils aux développeurs ne doivent collecter que les données nécessaires et ce, en toute transparence, vis-à-vis du développeur et par voie de conséquence vis-à-vis de l'utilisateur final
Source