La Commission Nationale de l’Informatique et des Libertés (CNIL), avait commencé à s’intéresser à l’exploitation des données personnelles sur les smartphones dès 2011, et opéré une première analyse des applis sous iOS, le système d’exploitation des iPhone et iPad, en 2013.
Aujourd’hui, elle publie les conclusions d’une nouvelle analyse (PDF) des smartphones sous Android, qui a une part de marché de 66 % en France.
Les systèmes d’exploitation tentent de limiter l’accès aux données personnelles, en demandant à l’utilisateur des autorisations, comme celle d’utiliser la géolocalisation, mais ces autorisations restent trop vagues et manquent de granularité.
Près de 60 % des applis ont recours à un identifiant, et près de 25 % à deux identifiants ou plus, pour des exploitations, comme le profilage publicitaire, les mesures d’audience, les statistiques d’utilisation, dont l’utilisateur n’a souvent pas conscience et qu’il n’a jamais autorisées.
Il devient vraiment difficile de corréler les accès aux données avec des actions de l’utilisateur ou des besoins légitimes des applications.
Les applis usent et abusent des données personnelles, souvent de façon non transparente et à l’insu de l’utilisateur, et ne proposent pas assez d’outils de maîtrise par l’utilisateur.
Un testeur de la CNIL a ainsi pu constater qu’un réseau social enregistrait en moyenne sa géolocalisation toutes les minutes…
La CNIL souhaite donc, conformément à l’avis du G29 (le groupe des CNIL européennes) d’avril 2013, que l’ensemble des acteurs de l’écosystème (éditeurs d’application, éditeurs des systèmes d’exploitation et responsables des magasins d’applications, tiers fournisseurs de services et d’outils) prenne la juste mesure de leurs responsabilités respectives pour améliorer l’information et les outils de maîtrise des données personnelles.
Ils doivent minimiser les collectes de données qui ne sont pas liées au service rendu par l’application et adopter une approche de privacy by design, plus respectueuse du droit des utilisateurs.
On peut toutefois de se demander quelle est la portée de telles recommandations quand elles ne sont pas accompagnées de mesures contraignantes.