En septembre 2012, Médiamétrie annonçait que 24 millions de Français possèdaient un smartphone. La CNIL et l'Inria s'intéressent donc aujourd'hui à la protection des données personnelles, sur mobile. L'enjeu est de taille : le respect de notre vie privée.

Depuis un an, la CNIL et l’Inria, organisme public de recherche dédié aux sciences et technologies du numérique, se sont penchés sur la question des données « enregistrées, stockées et diffusées par les smartphones ». Les premiers résultats de ce projet de recherche baptisé « Mobilitics » ont été publiés aujourd’hui.

La CNIL s’est appuyée sur son laboratoire interne d'innovation et l’Inria a fait appel à son équipe de recherche Privatics. Ils ont réalisé des expériences, dans un premier temps sur des appareils sous iOS (elles seront étendues au système d’exploitation Android très prochainement), sur un nombre limité d’utilisateurs et d’applications, l’idée étant d’observer dans le temps l’évolution des accès aux données personnelles (six iPhones testés pendant trois mois).

Au total, voici le bilan chiffré de cette première expérience :  9 Go de données récoltées, 189 appli utilisées, 7 millions d’évènements à analyser, 41 000 évènements de géolocalisation, soit 76 par jour et par volontaire. Des chiffres vertigineux. Détaillons.

Ces applications intrusives

La géolocalisation est « la donnée la plus intensément consommée » : un tiers des applications ont accédé à la géolocalisation, de façon délibérée, par facilité ou en raison d’une erreur de développement. Le nom de l’appareil (chaque smartphone se voit délivré un « nom » que le propriétaire peut changer à tout moment) a été accessible à plus de 15 % des applications. Presque 50 % (87 sur 189) des applications ont également accédé à l’identifiant unique du téléphone (UDID). Par exemple, l’application d’un quotidien a accédé 1989 fois à l’UDID et l’a transmis 614 fois à l’éditeur de l’application. Apple a donc promis de faire en sorte que les développeurs ne puissent plus accéder à cette information, en introduisant de nouveaux identifiants dédiés au ciblage publicitaire.

D’autre part, l’étude souligne le problème des cookies sur les téléphones mobiles : si l’internaute est libre de les effacer sur son ordinateur, cette manœuvre n’est pas encore possible sur son mobile.

Toutes ces données sont récoltées non seulement par les éditeurs d’applications que les utilisateurs ont choisi, mais en plus, ce qui est plus grave, par des acteurs tiers « par l’intermédiaire d’outils d’analyse, de développement ou de monétisation présents dans les applications. »

Données personnelles sur mobile : l'enjeu de demain

La CNIL et l’Inria concluent en appelant tous les acteurs de la chaîne à respecter les règles applicables en matière de protection des données. Ils proposent, par exemple, aux éditeurs d’applis d’inventer des « modes d'information des utilisateurs et de recueil du consentement. » Ils soulignent encore que les paramètres et réglages présents dans les OS sont insatisfaisants : les deux organismes ont, à cet effet, développé à titre d’exemple une démonstration des réglages pouvant être proposés.

Prochaine étape : l’expérience sous Android. Et d’ici quelques mois nous pourrons aussi observer une éventuelle évolution de la protection des données. En espérant qu'elle aille dans le sens d'un plus grand respect de la vie privée des utilisateurs de smartphones et d'une plus grande transparence.