CNIL : iOS laisse échapper des données privées

Smartphone

Par Jerome le

La Commission nationale de l’informatique et des libertés (CNIL) vient de publier son premier rapport sur le projet Mobilitics, qui permet de mettre en lumière transferts de données des smartphones.

Il se différencie des autres études puisque l’expérience est ici réalisée in vivo. Point de laboratoire donc, la commission a mis entre les mains de 6 volontaires des iPhone qui ont été utilisés comme s’il s’agissait de leurs propres téléphones pendant 3 mois. À l’aide d’un logiciel développé en interne (ce qui a pris un an), la CNIL a été capable de détecter toutes les allées et venues de données.

L’autorité administrative indépendante a ainsi collecté 9 Go de données ou 7 millions d’événements au total pour 41 000 de géolocalisations à travers un panel de 189 applis.

Chaque volontaire a donc été localisée en moyenne 76 fois par tranche de 24h, à leur insu ou non. D’après les premiers constats (ci-dessous), il semble que la quasi-totalité des applications accède au réseau. Plus étonnant, 46% d’entre elles accèdent à l’UDID de l’appareil (l’identifiant unique d’Apple) et près d’un tiers (31%) accède à la géolocalisation.

cnil2

La CNIL en tire plusieurs conclusions :

– Des accès réseau nombreux et quasi permanents sans une information claire des utilisateurs.
– 9 applications sur 10 accèdent à internet, ce qui ne se justifie pas toujours (jeux)
– Quelques applications sont à l’origine des accès à la grande majorité des données, avec une intensité qui semble dépasser le seul besoin des fonctions de ces applications
– Certaines applications accèdent à des données sans lien direct avec une action de l’utilisateur ou un service offert par l’application (récupération de l’identifiant unique, du nom de l’appareil, de la localisation).
– La géolocalisation, reine des données sur smartphone

Elle estime donc qu’il incombe à l’ensemble des acteurs de la chaîne de se mobiliser pour faire respecter les règles applicables en matière de protection des données. Les développeurs doivent ainsi bâtir les applis avec ces considérations en tête, l’organisme se dit même prêt à les aider.

Elle plaide également pour un utilisateur  mieux informé et une collecte limitée aux seules données nécessaires, en toute transparence. Reste à savoir ce qui est vraiment nécessaire. La CNIL note qu’une expérience similaire devrait avoir lieu avec Android dans les semaines à venir.

Source: Source