Quelques semaines après la publication des recommandations du G29[1] sur les applications mobiles, les résultats du groupe d’études créé par la CNIL et l’INRIA[2],  au sujet de l’impact sur la vie privée des utilisateurs  des applications installées sur les iPhones, viennent d’être publiés. Nous en avons décrypté l’essentiel.

 

Les Smartphones ont véritablement envahis le marché ces dernières années et, avec eux, toute une panoplie d’applications diverses et variées. En effet aujourd’hui, près d’1 million d’applications mobiles sont disponibles.

 

Pourtant, les utilisateurs ne savent pas réellement comment fonctionnent ces ordinateurs de poche qu’ils utilisent quotidiennement et qui contiennent une multitude d’informations, telles que des adresses, photos, contacts, données relatives à la localisation, données bancaires qui sont autant d’informations personnelles relevant notamment de la Loi Informatique et Libertés[3].

 

 

  • Le projet « Mobilitics »

Ce projet de recherche  été initié à la fin de l’année 2011 par la CNIL, en partenariat avec l’INRIA, afin de découvrir dans quelle mesure les Smartphones pouvaient porter atteinte à la vie privée de leurs utilisateurs.

L’objectif était d’analyser les données personnelles enregistrées, stockées et diffusées par les Smartphones.

Un logiciel permettant de détecter et d’enregistrer les accès à des données personnelles par les applications ou programmes utilisés sur un iPhone a ainsi été développé et installé pendant 3 mois sur six iPhones « cobayes » appartenant à des membres du personnel de la CNIL.

 

 

  • Les résultats

La CNIL a récolté 9 gigaoctets de données et a réalisé notamment les constats suivants sur les 189 applications téléchargées durant  l’expérimentation :

 -         176 accèdent à internet ;

-          87 accèdent à l’identifiant unique d’un iPhone permettant notamment de tracer l’utilisateur ;

-         58 accèdent à la géolocalisation du Smartphone : 41 000 géolocalisations ont ainsi été relevées au cours de l’expérimentation, soit en moyenne 76 par jour et par utilisateur ;

-          15 accèdent au carnet d’adresses…

 

…et ceci sans que cela ne soit forcément nécessaire pour le fonctionnement de l’application et sans que les utilisateurs n’en soient préalablement et clairement informés.

Ces résultats sont d’autant plus inquiétants dans la mesure où les utilisateurs n’ont aucun moyen d’information et de contrôle sur le fonctionnement de ces applications. Les paramètres de confidentialité sont méconnus et ce qui est possible sur un ordinateur pour effacer ses traces ne l’est pas sur les applications mobiles au sein desquelles des cookies peuvent aussi être installés.

 

 

 

  • Les préconisations de la CNIL et l’INRIA : « une mobilisation nécessaire de l’ensemble de acteurs de la chaîne »

Qui sont les acteurs  visés ?

 

En premier lieu : les développeurs d’application et les magasins d’application qui doivent :

-          prendre en compte dès l’origine les problématiques Informatique et Libertés,

-          mettre en place des modes d’information des utilisateurs et de recueil du consentement. Selon la CNIL, la situation actuelle du « à prendre ou à laisser » n’est pas satisfaisante : il conviendrait de donner la possibilité aux utilisateurs de choisir quelles données il souhaite partager avec l’application téléchargée.

 

En second lieu : les acteurs tiers fournisseurs de services et d’outils aux développeurs qui doivent limiter la collecte des données, en toute transparence vis-à-vis des utilisateurs en requérant systématiquement leur consentement.

Ces constats et recommandations doivent avant tout permettre de favoriser les services innovants protecteurs des droits des utilisateurs et de responsabiliser chaque acteur intervenant dans la mise en œuvre de ces services.

 

 

 

Par conséquent, n’oubliez pas qu’il vous appartient, en fonction de votre situation (développeur, éditeur, magasins d’application, régie publicitaire ou autre) de prévoir ou de vous assurer du respect de l’ensemble des règles applicables en matière de protection des données, notamment de :

 

-          fournir aux utilisateurs des informations claires sur :

  • les données traitées, en particulier si des données sensibles, financières ou permettant d’établir le profil social d’une personne sont collectées,
  • les finalités de chaque application,
  • la réutilisation éventuelle des données ;

 

-          recueillir systématiquement le consentement exprès des utilisateurs avant tout téléchargement d’une application ou modification de ses conditions de mise en œuvre et de faciliter le retrait de ce consentement !

 

 

Après l’annonce de ces préconisations, l’objectif est maintenant de rendre ces recommandations « opérationnelles et effectives » !

 

 

 

Aussi, pour vous assurer du périmètre de vos obligations légales, nous vous recommandons donc vivement :

-          de réaliser un audit technico juridique de votre projet,

-          afin d’identifier et mettre en œuvre les actions de mise en conformité légales nécessaires.

 

 

Nous ne manquerons pas également de vous tenir informés de la poursuite des recherches de la CNIL et l’INRIA dans le cadre du projet « Mobilitics ».

 
 

Claudia Weber, Avocat Associée et Viola Morel, Avocat Collaborateur

ITLAW Avocats

www.itlaw.fr



[1] Groupe des CNIL européennes

[2] Institut national de recherche en informatique et en automatique

[3] Loi n° 17-78 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée

 

Partager: