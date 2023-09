L'association autrichienne de protection des données Noyb – l'acronyme de None of your business – a déposé ce jeudi 14 septembre une plainte contre les applications Fnac (distribution de produits culturels et électroniques), SeLoger (diffusion d'annonces immobilières) et MyFitnessPal (compteur de calories) devant la Commission nationale de l'informatique et des libertés (Cnil). Elle les accuse de collecter et de partager illégalement les données personnelles de leurs utilisateurs.

Collecter des données pour générer des revenus

Noyb a téléchargé ces trois applications pour les tester. Elle déclare qu'une fois ouvertes, elles ont "immédiatement" commencé à collecter et à partager des données personnelles avec des tiers, dont l'identifiant publicitaire unique de Google (AdID), le modèle et la marque du téléphone ainsi que l'adresse IP locale. "Une telle collecte de données permet d'établir le profil des utilisateurs afin de leur montrer des publications et des campagnes de marketing personnalisées", détaille l'association. Le but : "générer des revenus".



Cette pratique viole la réglementation sur la protection des données personnelles, juge Noyb. En effet, elle rappelle que "le simple accès à des données ou leur stockage sur le terminal de l'utilisateur n'est autorisé que si ce dernier donne son consentement libre, éclairé, spécifique et sans ambiguïté". Or, "deux et trois applications" n'affichaient aucune bannière de consentement. La troisième en présentait une mais la transmission des données commençait avant même que l'utilisateur n'y consente.



Noyb a publié la plainte déposée contre la Fnac. Elle raconte comment l'entreprise Batch, présentée comme fournisseur de services d'analytique et de profilage, permet à son client la Fnac d'envoyer à ses utilisateurs des messages personnalisés, à des fins de marketing généralement. Pour ce faire, son, SDK recueille "par défaut" des données personnelles, notamment l'identifiant unique publicitaire de Google. "L'application a transmis l'AdID à la plaignante à Batch cinq fois par minute", détaille Noyb. Or, à aucun moment, la plaignante n'avait accepté la collecte et la transmission de ses données.

Un nombre potentiellement très élevé de victimes

Noyb demande donc à la Cnil de mener une enquête sur ces pratiques, d'effacer les données collectées illégalement et de prononcer une amende "adéquate" compte tenu de "la gravité des violations constatées" et "du nombre potentiellement très élevé de personnes concernées".



Ce n'est pas la première fois que les applications mobiles sont épinglées pour leur collecte et partage de données. Plusieurs études font état "d'un suivi généralisé et incontrôlé des utilisateurs d'applications mobiles". Une étude menée par l'Institut pour la sécurité des applications de l'Université technique de Braunschweig, en Allemagne, a ainsi révélé que près de 73% des applications envoyaient des demandes contenant des données personnelles directement au lancement de l'application, avant toute autre interaction avec l'utilisateur.



Ces pratiques ne sont pas étonnantes puisqu'en faisant fi de la réglementation en vigueur les applications mobiles s'assurent de pouvoir poursuivre leur stratégie publicitaire sans encombre. De plus, l'univers des applications mêle de nombreux acteurs – éditeurs, développeurs, fournisseurs de SDK, fournisseurs de système d'exploitation et de magasins d'applications – ce qui peut complexifier l'application de la législation. Interrogé dans le cadre d'une étude par l'assocation Usenix, de nombreux développeurs ont répondu qu'ils pensaient que la mise en place d'une politique de confidentialité était suffisante pour présumer du consentement des utilisateurs.

Des rôles parfois difficiles à attribuer

Consciente de ces problématiques, la Cnil a lancé une consultation publique en janvier 2023, ouverte jusqu'au 8 octobre 2023. Dans son projet de recommandation, elle reconnaît que "la ligne de partage entre ces trois qualifications (responsable de traitement, responsable conjoint du traitement et sous-traitant) peut parfois être délicate à fixer". Le sujet est particulièrement important puisque les Français utilisent massivement les applications mobiles. Au quatrième trimestre 2021, ils les ont utilisées durant 170 millions d’heures, soit presque le double du temps passé au premier trimestre 2018, d'après le "State of Mobile 2022" d'App Annie.