La Commissions nationale de l'informatique et des libertés (CNIL) et l'INRIA s'intéressent depuis un an aux smartphones comme l'iPhone qui sont un compagnon de tous les instants et un véritable ordinateur de poche pour gérer le quotidien, s'informer, se divertir. D'ailleurs, il est annoncé qu'il y aurait 24 millions de smartphones en France.
Dans le cadre de son projet "Mobilitics", ces deux institutions se sont intéressées aux comportements des applications vis à vis des données de l'utilisateur :
La CNIL et l'INRIA ont créé un logiciel capable de récupérer et d'analyser les données utilisées par les applications sur iOS.
Six personnes (membres de la CNIL) et disposant d'un iPhone se sont donc proposés afin d'observer les données échangées, stockées ou encore diffusées pendant une période de 3 mois.
Les données surveillées portaient sur l'accès à localisation, aux photos, au carnet d'adresses, à des identifiants du téléphone, etc.
Premier constat à la fin de la période de test, ce sont pas moins de 9 Go données, 7 millions d'évènements et 41 000 accès à la géolocalisation (soit 76 par jour) que la CNIL a du analyser pour un total de 189 applications.
Ainsi, 93% des applications demandent l'accès au réseau et46% à l'UDID (identifiant unique d'Apple) même si les applications accédant à l'UDID ne seront plus admises à compter du 1er mai.
Pour exemple, l'application d'un quotidien a accédé 1989 fois à l'identifiant unique et l'a transmis 614 fois à l'éditeur de l'app !
Ces données sont d'ailleurs souvent communiquées à l'insu de l'utilisateur et la CNIL fait remarquer que celui-ci doit pouvoir accéder aux réglages permettant de limiter l'accès et l'éventuelle diffusion de ses données.
Ainsi, la CNIL demande un plus grand respect de la part des développeurs ou des éditeurs avec 4 grandes lignes principales :
- Les développeurs d'application doivent intégrer dès le départ les problématiques Informatique & Libertés dans une démarche de privacy by design. La CNIL souhaite développer l'accompagnement des acteurs à cette fin. Plusieurs équipes Inria travaillent sur la protection de la vie privée et la société de l'Information, et notamment sur des systèmes/architectures privacy by design.
- Les magasins d'application doivent inventer des modes innovants d'information des utilisateurs et de recueil du consentement. La situation actuelle, binaire, du " à prendre ou à laisser " n'est pas satisfaisante.
- Les paramètres et réglages présents dans les systèmes d'exploitation pour smartphones sont insuffisants. Un contrôle plus fin pourrait être proposé sans pour autant dégrader l'expérience utilisateur. Dans le cadre du projet Mobilitics, la CNIL et Inria ont développé, à titre expérimental, une démonstration des réglages qui pourraient être proposés par le fournisseur du système d'exploitation.
- Les acteurs tiers qui fournissent des services et des outils aux développeurs ne doivent collecter que les données nécessaires et ce, en toute transparence, vis-à-vis du développeur et par voie de conséquence vis-à-vis de l'utilisateur final.
La CNIL et Inria vont poursuivre leurs recherches dans le cadre du projet Mobilitics, notamment sur les autres fournisseurs de systèmes d'exploitation du marché, ce qui permettra de suivre dans le temps les progrès accomplis par l'ensemble des acteurs.
Affaire à suivre donc.
