Des dizaines d’apps Android partagent avec Facebook des données personnelles sans consentement

apps

Par Olivier le

Facebook a connu une année 2018 particulièrement difficile, entre l’exploitation litigieuse des données de millions d’utilisateurs et des failles de sécurité en tout genre. Et la fin de l’année n’a pas été plus joyeuse !

Il y a quelques jours, le Financial Times détaillait en effet une enquête de Privacy International, montrant que des dizaines d’applications Android contournaient les autorisations de partage de données d’utilisateurs Facebook, afin de partager avec le réseau social des informations sans leur consentement. Un partage qui se réalise dès que l’app est lancée, sans aucune demande d’autorisation.

Infraction au RGPD

Lorsqu’une application a besoin d’accéder aux messages, aux contacts ou encore aux photos Facebook de l’utilisateur, elle demande naturellement une autorisation. Mais certaines apps ne les respectent pas et vont tout de même transférer des informations à Facebook : c’est le cas d’au moins 20 applications Android très utilisées parmi les 34 surveillées de près par Privacy International.

Parmi les données partagées sans consentement, on trouve mêle-mêle le nom de l’application, le nombre de fois où elle a été ouverte et fermée, ou encore l’identifiant Google de l’utilisateur. Des apps encore plus sans gêne, comme celle du voyagiste Kayak, vont jusqu’à fournir au réseau social des données comme le nombre d’enfants ou les voyages recherchés.

Avec cette nouvelle histoire, Facebook ne va pas redorer son blason auprès d’utilisateurs déjà inquiets des dérives de l’entreprise. Elle a tout de même indiqué à Privacy International qu’une fonctionnalité était en cours de développement qui permettra d’effacer l’historique des apps tierces. Par ailleurs, les développeurs ont déjà accès à un outil de désactivation de la collecte automatique de données.

Ce partage de données sans autorisation contrevient au règlement européen sur les données (RGPD), qui requiert des services en ligne l’obtention du consentement explicite des utilisateurs avant de collecter des informations privées.