Exploitation des données personnelles par Facebook : l’usager est-il complice ?

Pas besoin de faille de sécurité pour vous faire aspirer vos données. Edho Pratama / Unsplash, CC BY-SA

En terme de protection des données personnelles des usagers des applications mobiles, Facebook n’a pas la meilleure réputation. Ainsi, le fait que certaines applications (utilisées sous Android) partagent les données privées des individus avec ce réseau social sans un consentement clair de leur part n’est pas surprenant. Ce fut le résultat une étude récente réalisée par Privacy International. MyFitnessPal, Indeed, Shazam ou TripAdvisor ne sont que quelques-unes des nombreuses applications Android qui envoient des données sensibles à Facebook.

Privacy International a réalisé une analyse détaillée de chacune de ces applications incriminées.

Cette ONG, qui milite pour la protection des citoyens contre la violation de leur vie privée commise par les gouvernements et autres organisations, a examiné 34 applications (populaires) Android et a trouvé qu’au moins 21 d’entre elles (soit 61 %) « transfèrent automatiquement les données vers Facebook dès qu’un usager accède à l’application ». Ce qui est incroyable, c’est que cela est valable à la fois pour les personnes ayant un compte Facebook ou non et, le cas échéant, ces applications « coupables » transmettent toujours des données, même au cas où l’usager n’est pas connecté à Facebook.

En outre, la même étude a aussi signalé que, dans certains cas, les données que ces applications partagent avec Facebook sont « extrêmement détaillées et sensibles ». L’exemple type est celui de l’application Kayak, spécialisée dans l’offre et la comparaison des prix des voyages. Elle envoie à Facebook l’ensemble des informations détaillées sur les recherches de vols effectuées par les usagers de l’application : ville et date de départ, aéroport de départ et d’arrivée, date de retour, classe et nombre de billets voulus ou achetés entre autres. Les données partagées révèlent aussi des informations telles que le type de dispositif numérique utilisé par l’individu, la version de l’application exécutée sur l’objet connecté jusqu’à la résolution de l’écran. L'ONG indique avoir retesté toutes les applications en mars 2019 et grâce à leur travail, les deux tiers des applications, dont kayak, ne communique plus avec Facebook à leur ouverture.

Ainsi, ce transfert de données aide les annonceurs à avoir une idée sur le profil complet de l’usager (son sexe, sa religion, ses intérêts et activités).

« Par exemple, le fait qu’une personne ait installé les applications suivantes testées Qibla Connect (une application de prière musulmane), Period Tracker Clue (un suivi du cycle menstruel), Indeed (une application de recherche d’emploi), My Talking Tom (une application pour enfants), pourrait potentiellement être présenté comme une femme, un musulman, un demandeur d’emploi… », indique l’étude.

Et le RGPD ?

Mais, est-ce que ces applications sont conformes au Règlement général de l’Union européenne sur la protection des données (RGPD) entré en vigueur le 25 mai 2018 ?

Assurément, le RGPD a pour but de renforcer et d’uniformiser la protection des données personnelles relatives à tous les citoyens se trouvant sur le territoire de l’Union européenne. Ce qui signifie qu’il faut réprimer la manière dont les géants du web utilisent et commercialisent les données qu’ils collectent à leurs usagers.

Certes, après la promulgation du RGPD, Facebook a publié une nouvelle mise à jour de son SDK (le kit de développement logiciel d’Android) afin de donner aux développeurs la possibilité de retarder la collecte automatique de données à l’ouverture de l’application. Mais, il est difficile de savoir si tous les développeurs ont téléchargé la nouvelle version du kit de développement ou si elle est réellement mise en œuvre.

En outre, en vertu des règles du RGPD, les applications doivent obtenir le consentement explicite des usagers avant de collecter leurs données. Effectivement, ce consentement est accordé à ces applications par leurs usagers, mais de manière implicite dès leur installation !

Prenons l’exemple de l’application française Le Secret du Poids. Ce compteur de calories a été téléchargé par plus de 2 millions d’individus, elle permet (ou promet) à ces derniers de mincir et garder une silhouette élancée. Selon les conditions générales d’utilisation (CGU) de cette application, l’usager est considéré avoir accepté ces CGU et leurs modifications ultérieures dès son usage.

Il est aussi tenu de consulter « régulièrement » le contrat qui régit son usage de cette dernière pour être informé de son évolution. De plus, les mises à jour des CGU peuvent être modifiées « à tout moment » et l’usager en serait informé par un simple avis d’information. Nous remarquons également que cette application accède à certaines données personnelles de l’usagers (photos et vidéos) présentes sur son objet connecté, notamment celles qui n’ont aucun lien avec l’activité principale de l’application relative au régime alimentaire (contenu de la carte SD, accès aux connexions réseau, etc.). La question qui se pose : puisque l’usager renseigne au niveau de l’application uniquement le grammage de ce qu’il a mangé durant la journée, quelle est l’utilité des photos, vidéos, etc. collectées par cette application ?

Extrait des CGU de l’application : Les secrets du poids. Google Play Store

Nous trouvons la réponse à cette question dans les CGU de l’application de sport MyFitnessPal, analysée par Privacy International. Cette application déclare clairement qu’elle collecte « les données personnelles de différentes façons et à des fins diverses » ! En outre, elle annonce formellement qu’elle « peut » transférer ces données à certains partenaires et réseaux sociaux à des fins de publicité ciblée, d’amélioration de l’expérience d’usage.

Après avoir publié le rapport de Privacy International, certaines applications (comme Skyscanner) ont annoncé qu’elles ont été mises à jour afin d’empêcher la transmission de données à Facebook. La nouvelle version de l’étude détaille l’ensemble des applications qui ont changé leurs CGU. La question qui se pose : est-ce que Facebook publiera une réponse à l’étude de Privacy International ? Ou continuerai non seulement sa collecte des données personnelles, mais également le partage de ces dernières avec ses partenaires malgré ses différentes promesses de ne plus le faire ? Nous attendons toujours sa réponse !

Enfin, nous pouvons considérer l’usager comme « complice » avec ces développeurs d’applications de santé qui abusent du traitement de ses données personnelles, puisqu’il se livre volontairement à ces applications, partage délibérément ses données avec ces dernières et ne consulte (dans la majorité des cas) ni les CGU ni la politique de confidentialité du dispositif utilisé. Ainsi, les usagers se trouvent entre le marteau des développeurs de ces applications et l’enclume de leur envie de tirer bénéfice des fonctionnalités des applications utilisées.