Aujourd'hui, noyb a déposé trois plaintes en France contre la Fnac (le plus grand magasin d'électronique en France), l'application immobilière SeLoger et l'application de fitness MyFitnessPal. Les applications de ces entreprises accèdent illégalement aux données personnelles des utilisateurs et les partagent avec des tiers à des fins d'analyse sophistiquée dès l'ouverture de l'application. Les utilisateurs n'ont même pas le choix de consentir ou d'empêcher le partage de leurs données. Cette approche est illégale.
- Exemple de plainte contre la Fnac (FR)
- Autotraduction en anglais de l'exemple de plainte
- Méthodologie et spécifications techniques pour la capture et l'analyse du trafic réseau
Transmission par défaut. Le plaignant a installé les applications populaires MyFitnessPal, Fnac et SeLoger sur son smartphone Android. Une fois ouvertes, les applications ont immédiatement commencé à collecter et à partager avec des tiers des données à caractère personnel, notamment l'identifiant publicitaire unique de Google (AdID), le modèle et la marque de l'appareil et l'adresse IP locale. Une telle collecte de données permet d'établir le profil des utilisateurs afin de leur montrer des publicités et des campagnes de marketing personnalisées et d'augmenter les revenus des entreprises mentionnées.
Absence de consentement. En vertu de la directive "vie privée et communications électroniques", le simple accès à des données ou leur stockage sur le terminal de l'utilisateur n'est autorisé que si ce dernier donne son consentement libre, éclairé, spécifique et sans ambiguïté. Deux des trois applications mobiles n'affichaient pas de bannière de consentement au lancement de l'application. La troisième application présentait une bannière qui donnait théoriquement au plaignant le choix de donner ou non son consentement. En réalité, la transmission de leurs données personnelles a commencé sans aucune interaction de leur part - et avant même qu'ils aient eu l'occasion de penser au consentement.
Ala Krinickytė, avocate spécialisée dans la protection des données chez noyb: "Chaque application a besoin d'un consentement pour vous suivre. Au lieu de cela, elles utilisent la "collecte de données et le suivi par défaut". Contrairement au suivi sur les sites web, les applications mobiles n'ont pratiquement pas fait l'objet d'une mise en application jusqu'à présent."
Un suivi détaillé. Les informations telles que l'AdID sont uniques et liées à l'appareil d'une personne spécifique. Cela permet aux annonceurs et à d'autres tiers d'identifier les utilisateurs et de les cibler à l'avenir. Certains fournisseurs d'applications suivent même le comportement des utilisateurs en dehors de leurs applications. Cela leur permet d'enrichir les données collectées avec encore plus d'informations sur la vie de l'utilisateur.
Premier résultat d'une enquête plus large. La façon dont ces applications traitent les données de leurs utilisateurs est symptomatique d'un problème plus large dans l'environnement des applications mobiles. Bien que ces applications comptent souvent des millions d'utilisateurs, elles ne prennent pas la peine de se conformer aux lois européennes sur la protection de la vie privée, mais partagent des données privées avec des tiers (y compris des courtiers en publicité) afin de monétiser les données de leurs utilisateurs. Selon une étude menée par Konrad Kollnig et d'autres chercheurs, seules 3,5 % des applications offrent aux utilisateurs la possibilité de refuser leur consentement.
Ala Krinickytė, avocat spécialisé dans la protection des données chez noyb: "La collecte et le partage illégaux des données personnelles des utilisateurs est un problème très répandu dans l'environnement des applications mobiles. Il est essentiel que les autorités de contrôle prennent maintenant des mesures appropriées pour mettre fin à cette pratique."
Analyse des violations de la vie privée dans les applications mobiles. Afin d'obtenir des preuves des violations susmentionnées, une analyse technique du trafic réseau des applications pour smartphones a été nécessaire. La capture et l'analyse du trafic réseau ont été effectuées à l'aide de la PiRogue Tool Suite développée par la Defensive Lab Agency. Vous pouvez trouver la méthodologie détaillée ici.
Suppression des données et amende éventuelle. noyb demande à la CNIL d'ordonner à MyFitnessPal, Fnac et SeLoger de supprimer toutes les données ayant fait l'objet d'un traitement illicite. En outre, tous les destinataires des données du plaignant doivent être informés que le plaignant a demandé la suppression de tout lien, copie ou réplication de ses données personnelles. Compte tenu de la gravité des allégations et du nombre potentiellement élevé de personnes concernées, noyb suggère également que l'autorité compétente impose une amende. Ces plaintes ne sont qu'un début : noyb prévoit de déposer d'autres plaintes contre des sociétés d'applications mobiles à l'avenir afin de mettre un terme au partage illégal des données des utilisateurs.
Remerciements
- La capture et l'analyse du trafic réseau ont été réalisées à l'aide de la suite d'outils PiRogue développée par l'agence Defensive Lab
- Konrad Kollnig a apporté ses vastes connaissances et son expertise sur le thème du suivi dans les applications mobiles
- Tracking Weasel a fourni des informations précieuses sur les bibliothèques de traqueurs et la traque dans les applications mobiles.
