Mobilitics saison 2 : Android dans le collimateur de la CNIL

Par:
fredericmazue

mar, 16/12/2014 - 12:30

Mobilitics est une enquête réalisée par la CNIL et Inria concernant la confidentialité des données dans l'univers des smartphones et des applications. L'enquête est réalisée au moyen du logiciel Mobilitics développé par Inria.

La saison 1 (2013), consacrée aux iPhone, avait montré que les données personnelles fuitaient plutôt pas mal. La saison 2 montre qu'avec Android, c'est pire. Et globalement les utilisateurs n'ont pas vraiment de moyens pour s'y opposer    

Depuis 3 ans, la CNIL et Inria travaillent ensemble pour comprendre l'écosystème des smartphones. Les résultats du projet Mobilitics montrent que les accès aux données personnelles sont à la fois massifs et peu visibles pour les utilisateurs. Les éditeurs d'applications et leurs fournisseurs de services ou partenaires commerciaux doivent donc intensifier leur effort d'information des utilisateurs, sans s'abriter derrière des contraintes techniques. En la matière, les éditeurs de système d'exploitation pour smartphones et tablettes (Apple, Google, Microsoft, Mozilla) sont les premiers responsables. A ce titre, ils doivent permettre aux utilisateurs de mieux maîtriser leurs données personnelles souligne la CNIL. 

Pendant trois mois des testeurs, agents de la CNIL, ont donc utilisé des smartphones sur lesquels Mobilitics a été installé. Les résultats sont édifiants. La CNIL emploie le terme de démesurés.

Ainsi, il a été constaté qu' un testeur a été géolocalisé par une application de réseau social 150 000 fois en 3 mois, ce qui correspond à une géolocalisation  par minute sur cette période. Cela a même été jusqu'à 1 million de géolocalisations sur la même période avec une application dont le nom ni la finalité ne sont précisés.

Globalement les applications se gavent de données pour dresser des profils des utilisateurs et du matériel qu'ils utilisent : IMEI, Android_ID, adresse MAC, IMSI de la carte SIM, tout y passe. Ne parlons même pas du carnet d'adresses ou du n° de téléphone. Tout est bon pour faire de la publicité la mieux ciblée possible.

Selon la CNIL, iOS est un système d'exploitation plus fermé qu'Android, et Apple verrouille de manière plus stricte à certaines données.

Cependant, globalement , les éditeurs de systèmes d'exploitations ont un rôle clé à jouer dans le domaine de la confidentialité et la CNIL souhaite qu'ils le jouent. Les développeurs d'applications doivent être responsabilisés eux aussi, et ne pas collecter de données qui ne sont pas utiles au fonctionnement de leur application :

La CNIL souhaite que l'ensemble des acteurs de l'écosystème (éditeurs d'application, éditeurs des systèmes d'exploitation et responsables des magasins d'applications, tiers fournisseurs de services et d'outils) prenne la juste mesure de leurs responsabilités respectives pour améliorer l'information et les outils de maitrise des données personnelles. Les grands acteurs des systèmes d'exploitation et magasins d'applications ont un rôle clé à jouer. Si les nouvelles versions des systèmes d'exploitation sont souvent l'occasion de changements positifs dans les outils disponibles, ces efforts doivent se poursuivre. Les développeurs, éditeurs d'application et leurs partenaires (par exemple les fournisseurs de solutions d'analytics, de monétisation, etc.) doivent quant à eux minimiser les collectes de données qui ne sont pas liées au service rendu par l'application et adopter une approche de privacy by design, plus respectueuse du droit des utilisateurs.