La CNIL l'affirme sans détour : deux applications mobiles sur trois récupèrent des données personnelles à l'insu de l'utilisateur. Des données qui se concentrent majoritairement sur la géolocalisation et les identifiants des utilisateurs, avec toujours un même but en tête : cibler les publicités.

CNIL Android iOS  La Commission nationale de l'informatique et des libertés a profité de sa deuxième saison de Mobilitics pour publier les résultats de son enquête sur les accès des applications mobiles aux données personnelles des utilisateurs. Lancée en 2011, l'étude qui a déjà rendu un bilan sur les applications sous iOS dresse aujourd'hui un tableau des tendances sous Android, avec des conclusions similaires.

Ainsi, la géolocalisation est la donnée la plus prisée des applications en volume : 30% des accès aux données des utilisateurs concernent la localisation. En outre, la fréquence de cet accès est surprenant : si seulement 24% des 121 applis surveillées accèdent à la localisation des utilisateurs, certaines le font plusieurs centaines de milliers de fois ( jusqu'à une requête toutes les 2 secondes dans le cas de Happn).

Bien entendu, pour certaines applications, ces données de localisation sont légitimes en fonction du service proposé, et notamment dans le cas d'un service de guidage GPS, de renseignement sur des éléments à proximité...Néanmoins, la CNIL s'interroge sur la nécessité des recours réguliers à cette information. La CNIL cite ainsi l'exemple de deux applications ayant effectué 700 000 requêtes pour la première et plus d'un million pour la seconde en l'espace de 3 mois alors même que ces applis ne sont pas centrées sur les services de navigation.

L'étude pointe ensuite du doigt la "course aux identifiants", des données relatives au nom du téléphone, propriétaire, historique des bornes WiFi utilisées permettent de constituer des profils publicitaires dans le but de mieux cibler l'utilisateur et de le pister, même lorsqu'il ne le souhaite pas.

"Sur Android, un quart des applications ont accédé à deux identifiants ou plus" " On peut ainsi connaître l'historique des localisations en regardant l'historique des points d'accès wifi du téléphone." " Aéropot, employeur, visite de sites, on peut connaître les endroits où va l'utilisateur. On peut ensuite inférer des liens sociaux et familiaux en identifiant l'utilisation de box wifi personnelles."

Il est toutefois difficile pour la CNIL de faire la part des choses entre les requêtes d'accès et la transmission des données. Ainsi, chaque requête ne débouche pas automatiquement sur le partage de données.

En outre, le système de permission d'Android est particulièrement visé par la CNIL pour son côté grossier et complexe qui perd l'utilisateur dans des réglages pas suffisamment explicites.

C'est pourquoi la CNIL a publié sur Twitter deux notices permettant aux utilisateurs de mieux comprendre comment régler le partage de leurs informations sous Android et iOS : " On a essayé de décrire les chemins d'accès aux réglages. Il faut une certaine motivation pour les trouver."

Source : CNIL