La CNIL et l'INRIA ont publié ce mardi les premiers résultats d'une étude sur les applications mobiles. Les deux instituts ont voulu évaluer comment ces petits programmes interagissent avec les données privées disponibles sur un smartphone et quelles sont les informations qui sont ensuite transmises par le réseau. L'étude a porté exclusivement sur iOS. Une expérimentation consacrée à Android est programmée.

Élément central du smartphone, l'application mobile permet à l'usager de réaliser toutes sortes de choses. Elle lui donne le moyen de s'informer, de se divertir, de jouer, de s'organiser ou de communiquer. Généralement, l'utilisateur lambda n'en installe que quelques dizaines. Mais sait-il exactement ce qu'elles font ? Quelles sont les données auxquelles elles ont accès ? Si des informations sont par la suite transférées ?

"Les utilisateurs savent très peu de choses sur ce qui se passe à l'intérieur de ces " boîtes noires " qui contiennent beaucoup d'informations sur eux", commente la Commission nationale de l'informatique et des libertés (CNIL). Aussi a-t-elle décidé de mener l'enquête, afin de mettre en lumière l'attitude des applications mobiles à l'égard des données personnelles disponibles sur le smartphone.

En partenariat avec l'Institut national de recherche en informatique et en automatique, la CNIL a dévoilé une étude qui révèle que le smartphone, s'il joue le rôle de "hub" des activités numériques de l'individu, est aussi fort bavard vis-à-vis d'applications bien curieuses. Baptisé "Mobilitics", le projet s'est d'abord intéressé à l'écosystème iOS. Dans un avenir proche, la plateforme Android passera aussi à la moulinette.

"Le projet Mobilitics a consisté à développer un outil capable de détecter et d'enregistrer les accès à des données personnelles par des applications ou programmes internes du téléphone (accès à localisation, aux photos, au carnet d'adresses, à des identifiants du téléphone, etc.)". Après un an de conception, il a pu être testé sur six iPhone pendant trois mois. Les premiers résultats sont très instructifs.

Au cours de la phase de test, 189 applications différentes ont été installées et utilisées "normalement" par six volontaires. À l'issue, l'expérimentation a généré 9 Go de données, 7 millions d'évènements dans la base de données et 41 000 évènements de géolocalisation, soit 76 évènements par jour et par volontaire. Le détail du comportement des applications est synthétisé dans ce tableau :

Il ressort que la quasi-totalité des applications accèdent au réseau et maintiennent une liaison, "sans une information claire des utilisateurs" et sans que cela soit systématiquement justifié. La géolocalisation, "reine des données sur smartphone" selon la CNIL, est sollicitée pratiquement dans un cas sur trois. "Il s'agit donc de la donnée la plus intensément consommée".

"Quelques applications sont à l'origine des accès à la grande majorité des données, avec une intensité qui semble dépasser le seul besoin des fonctions de ces applications", note la CNIL. En outre"certaines applications accèdent à des données sans lien direct avec une action de l'utilisateur ou un service offert par l'application (récupération de l'identifiant unique, du nom de l'appareil, de la localisation)".

Pour la CNIL, la situation actuelle n'est évidemment pas satisfaisante. Seul un choix binaire s'offre aux usagers : à prendre ou à laisser. La manière dont fonctionne l'application mobile ne convient pas ? L'usager n'a qu'à chercher son bonheur ailleurs. Si l'usager n'accepte pas pleinement le fonctionnement du logiciel, en donnant son consentement, il ne pourra pas en profiter.

Comment améliorer la situation ?  La CNIL liste quelques solutions qui doivent être suivies par l'ensemble des acteurs œuvrant dans l'univers des terminaux mobiles.

  • Les développeurs d'abord, en intégrant "dès le départ les problématiques Informatique & Libertés dans une démarche de privacy by design".
  • Les plateformes de distribution ensuite, en inventant des "modes innovants d'information des utilisateurs et de recueil du consentement".
  • Les acteurs tiers enfin, en ne collectant "que les données nécessaires et ce, en toute transparence, vis-à-vis du développeur et par voie de conséquence vis-à-vis de l'utilisateur final".
  • Les entreprises mettant en œuvre les systèmes d'exploitation mobiles doivent également renforcer les  paramètres et réglages, jugés insuffisants ou compliqués

La CNIL et l'INRIA précisent que ces premiers constats s'inscrivent dans une démarche expérimentale portant sur un nombre limité d'utilisateurs et d'applications. Elle a donc ses propres limites. Ne serait-ce parce que l'étude n'a porté que sur iOS. Néanmoins, comme indiqué plus haut, l'autre grand O.S. mobile, Android, sera bientôt passé au crible.

Partager sur les réseaux sociaux

Articles liés