C’est devenu l'un des outils inhérents aux smartphones: chaque mobinaute utilise en moyenne une trentaine d’applications mobiles. Des applis gratuites, payantes, financées par l’intégration de publicités ou liées à un autre service (telle l’appli d’une banque), et qui permettent d’accéder sans beaucoup de barrières à des données très personnelles de leur utilisateur.
Pour la seconde édition de son étude Mobilitics, après une première publiée en 2013, la Commission nationale informatique et libertés (Cnil) a passé au crible 189 apps sous IOS (Apple, qui équipe près de 20% des smartphones en France) et 121 apps Android (Google, 70% des smartphones en France), pour voir à quelles datas accédait une application mobile. Et ce avec un logiciel maison, Mobilitics, élaboré avec l’Institut national de recherche en informatique (Inria), qu’une dizaine de volontaires de la Cnil ont testé sur des périodes de trois mois.
«Nous nous sommes aperçus qu’on ne connaissait pas bien ces applis, pourtant omniprésentes. Or, dans l’univers du web, il y a une traçabilité croissante des internautes, et une course aux identifiants accélérée: deux caractéristiques du web qu'on retrouve dans l'univers mobile», résume Isabelle Falque-Pierrotin, présidente de la Cnil. Localisation, carnet d’adresses et identifiants tels que le numéro de carte SIM font partie des données auxquelles ont accès une partie de ces apps.
L'utilisateur traqué à son insu
La géolocalisation est le type de «data» qu'aspirent le plus ces apps. Une sur quatre (24% sous Android, 31% sous IOS), testée par la Cnil, accède à la géolocalisation du mobinaute, souvent à son insu. Sans que l’app ne soit nécessairement un outil de géolocalisation ou d’itinéraire.
Même dans le cas d’applis très en vogue, tels le service de VTC Uber, ou les services de rencontres Tinder et Happn, «en les testant, nous avons constaté que dès qu'on les lance une première fois, parfois sans connexion, on voit beaucoup d’informations partir», relève Geoffrey Delcroix, chargé de projet innovation et prospective à la Cnil. De fait, ils relèvent la géolocalisation de leurs utilisateurs en permanence.
Autres datas privilégiées, les identifiants du mobinaute, en particulier l’Udid d’Apple (et Android ID), cet identifiant unique du mobile: 34% des apps Android y ont accédé, et 46% des apps IOS.
Pour limiter l’accès à cette donnée, les deux systèmes d'exploitation ont créé des identifiants dédiés au tracking publicitaire: Advertising ID sur Android, et Advertising identifier sur IOS. Mais Google ne l'impose aux éditeurs d'apps que depuis le 1er août de cette année, alors que c'est déjà le cas depuis 2013 sur IOS. Apple ne permet d'ailleurs plus d'accéder à l'Udid.
Android plus ouvert en récoltes de datas
«Les résultats sont convergents sous Android et IOS: il y a des stratégies similaires de collecte, mais avec plus de données accessibles dans un téléphone Android. Les apps installées par défaut (météo, actus, play store) récoltent beaucoup de données, par exemple de géolocalisation. Le volume est tel qu'on a parfois du mal à comprendre l’objectif», souligne Geoffrey Delcroix.
Avec une différence de taille entre les écosystèmes Apple et Android. «Celui d’Apple est plus fermé, administré directement par la firme qui verrouille de façon stricte les clés d'accès aux informations, alors que celui de Google est plus ouvert, avec plus de libertés d’accès aux données», résume Isabelle Falque-Pierrotin.
D’autant qu’Apple permet au mobinaute d’autoriser la géolocalisation appli par appli, contrairement à Android, qui propose d’accepter ou refuser la localisation de manière globale. Or, «Google est présent dans toutes les couches du smartphone: l'OS, les apps présentes par défaut, en tant que fournisseur de services comme tiers (Google Analytics)...», relève la Cnil.
Google est donc plus particulièrement dans le viseur. «On travaille avec le G29 [groupement des Cnil européennes] pour que Google se mette en conformité par rapport à la vie privée. Il doit dire à partir de quelles datas personnelles précises récoltées il offre ses 70 services», précise Isabelle Falque-Pierrotin. La Cnil négocie avec Google France un «pack de conformité» à ce sujet. Prochain rendez-vous début 2015.
