Comptes en banque, mots de passe, photos, carnets d’adresses, informations de géolocalisation... Votre smartphone en dit long sur vous à votre insu. Cet ami du quotidien représente une véritable mine d’informations personnelles. Pendant un an, la Commission nationale de l’informatique et des libertés (CNIL) et l’Institut national de recherche en informatique et en automatique (INRIA) ont travaillé main dans la main sur le projet Mobilitics, destiné à analyser dans quelle mesure nos smartphones portent atteinte à notre vie privée. Les résultats sont alarmants.
« On a ouvert le capot et on a regardé à l’intérieur pour essayer de comprendre comment ça marche », résume Stéphane Petitcolas, affilié au service de l’expertise informatique de la CNIL. Pour décrypter ces « boîtes noires », les deux institutions ont créé un logiciel et l’ont intégré à six iPhones afin de déceler les informations enregistrées, stockées et diffusées par les applications installées sur ceux-ci. « Notre but était de dire ‘‘Regardez, il y a des données qui sortent de votre smartphone, restez vigilants" », explique Stéphane Petitcolas. Pendant trois mois, des membres de la CNIL ont utilisé ces smartphones comme le leur afin de réaliser une expérience in vivo.
Tracking généralisé, utilisation floue des données
Les résultats sont à faire pâlir : 9 giga-octets de données récoltées, soit 7 millions d’évènements à analyser. La suite est d’autant plus surprenante : sur 189 applications utilisées, 176 se connectent à Internet, 87 accèdent à l’identifiant unique du téléphone (UDID), 36 au nom de l’appareil, 19 aux comptes personnels et 15 au carnet d’adresses. Le constat est clair : « Les outils d’identification et de traçage envahissent les smartphones ». Le tout sans raison apparente. Et la reine des données reste la géolocalisation de l’appareil : « Près de 41 000 évènements de géolocalisation collectés pour six personnes en 90 jours, soit une moyenne de 76 évènements par volontaire par jour », déplore la CNIL dans son rapport.
« L’utilisateur n’est pas informé, n’a pas donné son consentement et n’a aucun contrôle sur l’accès des applications aux données personnelles stockées dans son smartphone. Et cela conduit à un tracking généralisé », s’indigne Stéphane Petitcolas. A quoi servent ces données ? Au ciblage publicitaire pour les acteurs « classiques » du traçage informatique (Google, la société française Criteo ou Amazon) ou à l’établissement de statistiques pour les acteurs d’analyse (Google Analytics). Des acteurs « tiers » complètement méconnus du public récoltent les données, transmises par les développeurs ou magasins d’applications, pour établir des profils très étayés. Le but : créer de nouvelles applications. « La société américaine Flurry est implantée dans plus de 50% des applications de l’Apple Store et recueille, chaque jour, 2,8 billions de données sur les utilisateurs d’applications », cite, à titre d’exemple, Stéphane Petitcolas.
« Les données personnelles : le pétrole de l’économie numérique »
Mais la marge de manœuvre de la CNIL reste limitée. Il est difficile de savoir si l’application recueille ces informations car son fonctionnement l’exige ou si elle le fait de manière arbitraire. Difficile aussi de déterminer dans quelle proportion les données récoltées sont utilisées. Pour la CNIL, « la transparence doit jouer à tous les niveaux » pour permettre au public de gérer l’accès des applications à ses informations personnelles. « Notre présidente (Isabelle Falque-Pierrotin, Ndlr) a l’habitude de dire que les données personnelles sont le pétrole de l’économie numérique », souligne Stéphane Petitcolas. La CNIL et l’INRIA poursuivent l’expérimentation, cette fois sur le système Androïd de Google, pour suivre l’évolution de la collecte de données.