Android : la Cnil pointe du doigt la surveillance des données utilisateurs

Identifiants uniques, données de géolocalisation et autres.... Deux applications sur trois récupèrent des données selon l'enquête.

La Cnil vient de publier son rapport tant attendu, Mobilitics, réalisé en collaboration avec l'Inria, sur les applications mobiles et leur exploitation des données utilisateurs. En 2013, l'organisme s'était penché sur l'écosystème iOS, il récidive aujourd'hui en se focalisant Android, univers au sein duquel il a scruté l'utilisation d'informations telles que le carnet d'adresses, l'identifiant unique ou la géolocalisation par 121 programmes. Le constat est éloquent : sur iOS comme sur Android, entre 50 et 60% des applications testées ont accédé à des identifiants du téléphone. Si Apple comme Google ont mis en place des moyens de permettre aux utilisateurs de réinitialiser ou faire un opt-out sur ces identifiants (l'IDFA et l'Android ID), la Cnil note que "les applications récupèrent souvent plusieurs identifiants différents dans le même appareil (sur Android, un quart des applications ont accédé à 2 identifiants ou plus)."

Dans le détail, "la localisation est la donnée reine dans l'environnement des smartphones", explique la Cnil. Elle représente ainsi selon l'étude plus de 30% des événements détectés, à elle seule, qui plus est "sans être toujours liée à des fonctionnalités offertes par l'application ou à une action de l'utilisateur". Il faut dire qu'à mesure que les usages sur mobile explosent, que l'utilisateur effectue de plus en plus de "recherches locales", la donnée de géolocalisation est devenue cruciale poules éditeurs d'applications qui s'en servent pour améliorer leur service mais également permettre aux annonceurs d'être plus pertinents dans leur publicité, dans une perspective "drive to store". Et l'étude de citer le cas d'une application de réseau social qui a pu accéder 150 000 fois en 3 mois à la localisation d'un de ses testeurs. "D'une manière générale, beaucoup d'applications accèdent très souvent à la localisation (ainsi, plus de 3 000 fois en 3 mois pour un jeu)."

La Cnil pointe enfin du doigt le rôle d'Aple, Google et Microsoft dans cet écosystème. Editeurs d'applications et maître d'un OS, ils sont en effet dans une situation privilégiée pour collecter et traiter des données. "Certains services étant installés par défaut (et parfois impossibles à désinstaller), l'utilisateur n'a souvent pas d'autre choix que de laisser ces services accéder à des données." Et d'en appeler aux responsabilités de chacun en la matière.

Android / Cnil