Temps de lecture : 4 minutes

Exposition des conditions d’utilisations de WhatsApp, Google, Tinder, Twitter, Facebook, Snapchat et Instagram par Dima Yarovinsky, étudiant de l’école des Beaux-Arts de Bezalel. Le titre : “I agree”

Installer des applications sur son smartphone n’a jamais été aussi simple : il suffit de trouver l’application sur le store de votre appareil, d’accepter quelques conditions d’utilisation et le tour est joué. Dans le monde, près de 180 milliards d’applications ont ainsi été téléchargées en 2017.

Néanmoins cette action anodine a des conséquences dont la portée dépasse largement ce qu’imaginent la plupart des utilisateurs de smartphones. Par exemple, il y a encore quelques semaines, accepter les conditions générales d’utilisation de WhatsApp autorisait l’application à partager le numéro de téléphone de ses utilisateurs avec Facebook . N’importe qui pouvait alors facilement retrouver un profil Facebook à l’aide du numéro de téléphone de la personne recherchée et ce même si ce numéro n’avait jamais été directement communiqué à Facebook.

 

Un « OK » lourd de conséquences

Beaucoup d’applications présentent leurs conditions d’utilisations sous une forme minimaliste et refuser celles-ci n’est en général pas une option.

Un simple « OK » engage l’utilisateur à fournir de nombreuses données à l’éditeur de l’application. Ces informations peuvent aller du modèle de son téléphone à ses photos ou son micro, en passant par son calendrier. Mais en général, seule une petite partie des données collectées sert réellement au fonctionnement de l’application.
La majeure partie est utilisée à d’autres fins, comme par exemple pour analyser le profil des utilisateurs de l’application et améliorer le ciblage de publicités au sein de l’app. Une autre pratique courante chez les éditeurs d’applications consiste à revendre les données collectées sur leurs utilisateurs à des tiers. Cette revente est légale au regard de la Loi informatique et libertés , pour peu que l’utilisateur de l’application ait donné son consentement … ce qui est en général imposé lors de l’acceptation des conditions d’utilisation.

 

La revente de données à des tiers : un business florissant

Comme l’a montré récemment l’affaire Cambridge Analytica, de nombreuses données nous concernant peuvent être collectées puis monétisées à notre insu. Chez les éditeurs d’applications, la revente de données à des tiers est également loin d’être une pratique marginale. Elle constitue même le business model de certaines entreprises. Sachant par exemple que les données d’un utilisateur rapportent en moyenne 20 dollars par mois à Facebook, on imagine pourquoi ce secteur est si florissant .
Un exemple qui a fait grand bruit récemment en France est celui de Teemo, entreprise spécialisée dans la collecte de données de géolocalisation et la monétisation de celles-ci. Au travers de partenariats avec de nombreux éditeurs d’applications (onze au total, dont entre autres le Figaro, Closer ou l’Équipe), Teemo récoltait les positions géographiques de millions d’utilisateurs de ces applications. Une collecte rendue possible par l’intégration d’un SDK (Software Development Kit) dans chacune des apps partenaires. Le SDK transmettait directement à Teemo les informations de géolocalisation. Ces données collectées à l’insu des utilisateurs étaient ensuite revendues à des annonceurs publicitaires puis utilisées afin d’affiner le ciblage de leurs publicités.

 

Ce qui risque de changer avec le RGPD

Depuis le 25 mai 2018, la nouvelle réglementation européenne concernant la protection des données à caractère personnelles (le RGPD) est devenu applicable. Depuis cette date, le consentement explicite de l’utilisateur de l’application est nécessaire afin de permettre à l’éditeur de partager les données collectées à des tiers . De fait, de nombreux éditeurs ont été forcés de revoir leurs conditions d’utilisations pour être conformes à cette réglementation.

Exemple d’email envoyé aux applications incriminées par Apple

Par exemple, WhatsApp a mis à jour ses conditions d’utilisation pour les utilisateurs de l’Union Européenne . Les créateurs de l’application précisent notamment “We are not currently sharing account information to improve your product and ads experience on Facebook”. Cependant, ils ajoutent plus loin “As we have said in the past, we want to work closer with other Facebook companies in the future and we will keep you updated as we develop our plans.”. Nul doute qu’à l’avenir, les deux applications partageront de nouveau leurs données.

Quant à Teemo, la start-up a été certifiée conforme au RGPD par une société de conseil privée. Cela n’a pas empêché Apple de retirer début mai l’application “Le Figaro” de son store, car celle-ci utilisait les services de Teemo. Une décision prise unilatéralement par Apple, en invoquant le fait que « [l’application du Figaro] transmet les données de géolocalisation des utilisateurs à des tierces parties sans leur consentement à des fins inappropriées ». Les applications Marmiton et Closer, également porteuses du SDK de Teemo, ont subi le même sort sur le store de la marque à la pomme. Si depuis Le Figaro a pu réintégrer l’Apple Store, les autres applications sont toujours indisponibles au téléchargement à l’heure ou cet article est écrit.

 

Comment protéger ses données personnelles en tant qu’utilisateur d’applications ?

L’arrivée du RGPD permettra sans aucun doute de limiter les pratiques douteuses quant à la récolte et au partage des données d’utilisateurs d’applications. Cependant, il est évidemment possible de prendre des mesures pour protéger ses données personnelles en tant qu’utilisateurs d’apps. Un simple contrôle des autorisations accordées aux applications permet de désactiver la récolte de certaines données. C’est par exemple le cas pour la collecte des données de géolocalisation par l’application Facebook, activée par défaut et qu’il est possible de refuser en décochant une case .
Pour aller un peu plus loin, il est également possible de réinitialiser « l’identité » d’un smartphone aux yeux des publicitaires. Ainsi, ces derniers n’auront plus accès à l’historique de navigation ou de géolocalisation associé au téléphone. Cette procédure est possible sur iOS comme sur Android.

Sur Android 7, il suffit de suivre les étapes suivantes :
➔ Paramètres
➔ Google
➔ Annonces
➔ Réinitialiser l’identifiant publicitaire

Sur iOS :
➔ Réglages
➔ Confidentialité
➔ Publicité
➔ Réinitialiser l’identifiant de publicité

Cette simple manipulation met à mal une grande majorité des techniques de ciblages publicitaires. Elle consiste à réinitialiser l’identifiant par lequel un smartphone est identifié par les publicitaires, appelé l’IDFA (IDentity For Advertisers). En réinitialisant cet identifiant, l’utilisateur de smartphone fait perdre aux publicitaires l’historique dont ils disposent sur lui. Ainsi, les données passées décrivant le comportement de l’utilisateur ne peuvent plus être exploitées contre lui pour lui envoyer des publicités ciblées. Un début de protection, qui restera malheureusement insuffisant en l’absence de sanctions réellement dissuasives et crédibles contre les applications ne respectant pas la vie privée de leurs utilisateurs.