Le Conseil des Consommateurs Norvégien (CCN) publie aujourd'hui une enquête édifiante sur l'étendue du partage de données confidentielles par les applications les plus populaires des magasins d'applications.
Le rapport, intitulé « Out of control » (Hors de contrôle, en VF), détaille le type de données qui sont partagées par les éditeurs de ces applications. Les applis de rencontres Happn, OkCupid, Tinder et son équivalent LBGTQ+ Grindr sont particulièrement concernées par cette boulimie du partage.
Au moins 135 tierces parties impliquées
L'organisme gouvernemental norvégien a commissionné l'entreprise de cybersécurité Mnemonic pour effectuer une analyse détaillée du trafic sortant de 10 applications populaires du Google Play Store d'Android. Et ses conclusions sont glaçantes : au total, ces applications partagent leurs données avec quelque 135 tierces parties impliquées dans la publicité ou le « profilage comportemental ».En la matière, l'application de rencontres LGBTQ+ Grindr (téléchargée plus de 10 millions de fois) est la plus gourmande. Au total, ce sont pas moins de 18 entreprises qui reçoivent les données de l'application. Les coordonnées GPS et le type de relations recherchées par les utilisateurs·rices sont notamment au menu.
Les applications de Match Group (Tinder, OkCupid) sont également concernées par ce partage avec au total huit tierces parties récupérant les données des inscrits·es. Mais sur la seconde marche du podium, c'est l'application de « maquillage virtuel » (des filtres photographiques) Perfect365 que l'on retrouve, avec 16 tierces parties impliquées. Dans la liste sont également citées des applications de suivi des cycles menstruels (Clue, My Days), l'application de recherche d'événements dédiés aux musulmans Muslim, ou encore la très populaire (plus de 100 millions de téléchargements) My Talking Tom 2 — une application dédiée aux enfants.
Clé de voûte de ce partage déraisonnable de données personnelles : l'Advertising ID, ou identifiant publicitaire qui est attribué à tout smartphone sur le marché, et qui se retrouve ballotté de tracker en tracker sur les sites Web et applications que nous utilisons. En la matière, et sans la moindre surprise de par sa nature plus « ouverte » qu'iOS, Android est le système d'exploitation le plus volontaire en termes de partage. Et si les deux systèmes d'exploitation permettent en effet de s'opposer au partage de l'Advertising ID via leurs paramètres, seul iOS rend cet identifiant absolument inutilisable par les publicitaires. « Sur les appareils Android, » lit-on dans le rapport, « les applications peuvent toujours utiliser l'Advertising ID à d'autres desseins impliquant par exemple des données personnelles au niveau individuel, même si l'utilisateur renonce à la publicité personnalisée ».
Des politiques de confidentialité à revoir en intégralité
Les 186 pages du rapport publié par le Conseil des Consommateurs Norvégien pointent en creux la mauvaise volonté des éditeurs de ces applications à se plier au droit européen, et plus particulièrement au Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai 2018.D'après les observations de Mnemonic, seule l'application My Talking Tom 2 est transparente sur l'étendue des données qu'elle partage avec ses partenaires. Parmi les applis de rencontres, seule Happn liste de façon exhaustive les tierces parties avec lesquelles elle travaille. Aucune, à l'exception de My Talking Tom 2, ne permet de réduire, sinon de s'opposer, au partage des données avec de tierces parties.
TikTok livre son premier rapport de transparence : Inde et USA en tête des demandes de retrait
Une infraction criante, selon le CCN, aux termes du RGPD qui demande aux éditeurs d'applications d'obtenir le consentement de la part des utilisateurs·rices pour partager leurs données personnelles, et implique de leur fournir les outils permettant de s'opposer à ce partage de données.
De plus, l'intraçabilité des données une fois partagées rend l'exercice de la confidentialité totalement abscons dans les nombreux cas présentés dans ce rapport. Grindr, pour reprendre l'exemple de cette application, ne liste parmi ses annonceurs partenaires que MoPub (une filiale de Twitter). Entreprise qui, elle-même, admet partager ses données avec quelque 160 tierces parties. Un serpent qui se mord la queue en somme.
Sur la base de ces découvertes, le CCN demande aux autorités compétentes de s'assurer que le RGPD soit respecté, et aux annonceurs et éditeurs de se tourner vers des méthodes publicitaires moins invasives. Des appels à l'action qui, sans politique européenne plus agressive, pourraient bien rester lettre morte.
Pour rappel, le RGPD a fait l'objet d'un dépôt de quelque 4 000 amendements de la part de lobbyistes rattachés aux GAFAM. Un record, adossé aux sommes astronomiques engagées par ces entreprises pour s'assurer que leur business model ne vacillera pas suite à l'adoption du texte.
L'association française de défense des consommateurs UFC-Que Choisir, exhorte la CNIL de se saisir de l'affaire.
[2/2] #Alerte / . L'UFC-Que Choisir alerte la @CNIL après avoir consulté le rapport de ses homologues norvégiens. Une vingtaine d'associations européennes et internationales alertent aussi leurs autorités.#MyTalkingTom #Tinder #Grindr #Clue pic.twitter.com/MTXMQEHual
— UFC-Que Choisir (@UFCquechoisir) 14 janvier 2020
Source : Forbrukerradet.no (PDF)