Dans une réponse à Nice Matin, la Ville de Nice explique que Numerama a tort d'utiliser le terme « mouchard » pour parler des trackers utilisés dans l'application Reporty. Cette divergence de vocabulaire dit beaucoup de l'incompréhension qui entoure les trackers et leurs problèmes.

Nous avons publié le 16 janvier un article sur Reporty, une application de sécurité que teste la Ville de Nice. Dans ce dernier, nous apportions, grâce à l’outil d’Exodus Privacy, des éléments confirmant la présence de mouchards dans l’application citée. Après la publication de cet article, Nice Matin a pu joindre la Mairie pour l’interroger sur ces « mouchards  ». La Ville écrit alors au quotidien : « Le terme de mouchards utilisé par Numerama est faux !  ».

Sans revenir intégralement sur l’affaire, traitée ici, nous tenons à avancer quelques éléments pour mieux comprendre de quoi il est question. Et pourquoi Reporty reste une application qui collecte des données sans que la Mairie puisse nous assurer du bon fonctionnement de cette collecte.

Mouchard ou pas mouchard ?

Lorsque la Ville rejette le terme mouchard, elle semble vouloir euphémiser. Le terme serait trop connoté pour être utilisé lorsque nous parlons, pour citer la Ville, de « modules d’analyse de fonctionnement  » intégrés aux applications.

« Le terme de mouchards utilisé par Numerama est faux !  »

Dans le monde anglophone, où ces mouchards sont nés, on utilise le mot de tracker qui ne semble guère plus joyeux que mouchard. Toutefois, au crédit de la Ville, l’utilisation de la dénomination mouchard semble poser un problème de fond dans cette affaire : elle laisse entendre que les trackers auraient des intentions d’espionnage. C’est évidemment plus compliqué et ce n’était pas notre propos : les mouchards dont nous parlons ont des intentions diverses.

Reporty

Comme le répètent, pour des besoins légaux, mais pas seulement, les membres d’Exodus Privacy, « la découverte de trackers dans une application n’implique pas un jugement moral ou légal  ».

En tant que services informatiques fournis à des entreprises, les trackers ne sont pas par nature illégaux. Ils sont d’abord des bouts de code qui truffent des apps et qui communiquent avec l’extérieur. Dans le cas de Google CrashLytics par exemple, il s’agit d’un morceau de code qui analyse les erreurs de l’application pour les relever et les soumettre aux développeurs. Il n’y a, dans les faits, aucun problème ici.

Et pourtant, Google Ads, CrashLytics, Teemo et d’autres sont bien des mouchards. Des modules d’analyse, certes, mais qui envoient leurs analyses à des sociétés et à des services tiers.

Gentils ou non, les trackers sont bien des mouchards. Et lorsque Le Monde employait cette traduction, désormais adoptée dans nos colonnes, c’était pour rester fidèle au terme anglophone. Un confrère rappelle : « c’est comme vidéosurveillance contre vidéoprotection  » — un débat de vocabulaire qui veut dire beaucoup.

Des mouchards ou des espions ?

Toujours pour se défendre de la présence de trackers qui seraient trop envahissants, la Mairie rappelle que ces modules seraient « intégrés par un grand nombre d’éditeurs d’applications mobiles et de sites Web, pour analyser leur fréquentation, voire pour afficher de la publicité  ». C’est vrai.

Et lorsque Le Monde révélait l’aboutissement des travaux d’Exodus Privacy, le quotidien montrait que les mouchards étaient effectivement présents dans de nombreuses applications. L’était-ce pour de bonnes ou de mauvaises raisons ? C’est justement un autre débat. Un débat que nous n’avions pas à propos de Reporty. Nous avancions seulement une information vérifiée : l’app utilise des trackers (mouchards).

La Mairie ne remet donc pas en question la véracité de nos informations, mais évacue les mauvaises intentions que pourraient avoir ces mouchards en écrivant : « Il ne s’agit en aucune façon de composants dédiés à l’espionnage de la vie privée ou au suivi géographique, par exemple.  » La différence ne serait donc pas sur la nature des mouchards, mais sur leurs intentions.

Là, la question devient plus complexe : un mouchard n’est effectivement pas dédié à l’espionnage, toutefois il collecte des données. Or si ces données sont personnelles, il existe un cadre légal pour leur collecte. Les mouchards respectent-ils ce cadre légal alors qu’ils n’ont pas une relation directe avec les utilisateurs pour les prévenir, par exemple, d’une collecte de données personnelles ? C’est là le nœud du sujet des mouchards et de leur légalité.

Ils font quoi, les mouchards ?

Techniquement, les divers trackers de Reporty collectent des données potentiellement considérées comme personnelles en France — notamment l’adresse IP. Ils sont donc bien concernés par la loi.

Or comme le rappelle innocemment un membre d’Exodus Privacy, « avec les trackers, il faut s’intéresser au cœur de métier des sociétés qui les éditent pour comprendre ce qu’ils font  ». Ainsi si nous nous intéressons seulement à MixPanel, dont nous avons trouvé des traces (article précédent), il s’agit d’un tracker qui est décrit par CNet comme « le service qui vous fiche, réellement ». L’article est vieux, et la situation a évolué, mais en 2018, Mixpanel explique toujours « suivre l’empreinte numérique de chaque utilisateur sur tous les appareils et tous les services web  », se félicitant de « savoir précisément ce qu’il se passe dans votre produit  ». Un service public a-t-il besoin d’un tel module d’analyse  ?

En outre, ce module d’analyse respecte-t-il la loi concernant la collecte de données personnelles ? La question reste posée.

smartphone-portable
CC Japan Expert Ena

À propos des mouchards, la Ville de Nice nous a détaillé le fonctionnement des « 4 modules intégrés dans Reporty  » — excluant MixPanel dont des traces ont été trouvées par Exodus.

Pour la Ville, AppsFlyer serait « une plateforme mobile d’analyse qui fournit de l’aide aux marketeurs pour prendre de meilleures décisions  » : il s’agit certainement de profilage publicitaire. Pour Google Ads, il est noté qu’il s’agit de la même chose qu’AppsFlyer « dans un but publicitaire  » bien qu’il n’y ait pas de pub dans Reporty. Quant à CrashLytics et Firebase, il s’agit respectivement d’un outil d’analyse de crash pour débogage et d’un outil d’analyse et de mesures.

Enfin, notre source d’inquiétude face à cette situation venait également des autorisations exigées par Reporty sur Android, notamment l’accès aux contacts. À ce sujet, la Ville de Nice souhaite être claire : « seules les fonctions indispensables au fonctionnement doivent rester actives (micro, caméra et géo localisation) et lors de la session de sensibilisation, il a bien été précisé au panel de Niçois de désactiver les autres si ce n’était pas le cas après l’installation. »

Partager sur les réseaux sociaux