Le scandale de Cambridge Analytica incite un nombre croissant d’internautes à se questionner sur leur usage des réseaux sociaux et la collecte de leurs données personnelles. Après Facebook, les applications font elles aussi les frais de cette prise de conscience. Le flou qui entoure leur usage de nos données, via des demandes d’autorisation généralement très vagues, pose de plus en plus question. Les scandales à répétition ont érodé la confiance des utilisateurs… nos applications n’en savent-elles pas trop sur nous ?

Accord tacite

Généralement, les applications mobiles ont accès au microphone, à l’appareil photo, aux contacts, à la localisation, et aux différents comptes de médias sociaux du propriétaire du téléphone. Cela représente, comme on peut s’en douter, une quantité massive d’informations et de données en tout genre. Sauf que l’utilisateur a donné son accord pour qu’elles soient collectées. Elles sont d’ailleurs nécessaires pour faire marcher certaines applications : Uber, par exemple, ne pourrait fonctionner sans notre géolocalisation.

On pourrait alors penser que les applications ne savent ce que l’on veut bien leur donner. Sauf qu’il y a un autre problème : les autorisations demandées par ces dernières sont souvent très simplifiées et n’expliquent pas exactement ce que l’application va collecter- et à quel usage. Et comme l’explique Wired, « les gens sont toujours assez confus quant aux données auxquelles leurs applications Smartphone peuvent et ne peuvent pas accéder ». Une fois que nous levons les barrières protégeant nos données, c’est souvent le grand flou.

Soirée Pizza

Après avoir donné l’autorisation de collecter nos données à une application, difficile de savoir dans quelle mesure celle-ci va piocher dans nos informations. Pour cette raison, le Wall Street Journal a proposé d’analyser ce qu’il pouvait se passer lors d’une simple soirée pizza entre amis. Échange de messages sur Messenger, utilisation de Google Maps pour aller chercher la pizza, photo du dîner sur Instagram… Au total, 53 données différentes ont été transmises à des entreprises et annonceurs sans que la personne ne s’en rende compte. L’exemple reste anecdotique, mais il permet de prendre conscience du fait que les applications collectent les données en permanence via les applications mobiles.

Une autre expérience avait été menée par une journaliste sur Tinder, permettant de montrer cette fois la quantité de données conservées par les applications au cours du temps.

Dispersion des données

Un autre élément important est que les données circulent bien au delà des applications. D’après Scientific American, 7 applications pour Smartphone sur 10 partagent les données avec des acteurs extérieurs comme Google Analytics, parfois appelés bibliothèques tierces. Elles aident les développeurs d’applications à connaître l’engagement des utilisateurs, ou à évaluer leurs connexions aux médias sociaux. Cependant, elles sont capables de rassembler des données collectées de différentes applications – auxquelles un utilisateur n’a pas forcément toujours accordé les mêmes niveaux d’autorisations.

En les recoupant, elles arrivent ainsi à créer des « profils « d’utilisateurs, d’une précision allant de l’orientation sexuelle aux convictions politiques. Ces profils peuvent ensuite être envoyés vers d’autres serveurs, mais aussi vers des sociétés : une véritable mine d’or pour faire de la publicité ciblée. Aujourd’hui, très peu de développeurs mentionnent quelles bibliothèques sont utilisées, empêchant les utilisateurs de savoir exactement quelles données sont ensuite recoupées.

Les GAFAM mis en cause

Aujourd’hui, les législations nationales liées aux données restent assez disparates, et les états ont beaucoup de mal à protéger efficacement les internautes. Les GAFAM comme Apple ou Google, qui permettent aux utilisateurs de télécharger les applis depuis leurs stores, ont quant à eux été très critiqués pour le manque de clarté sur leurs politiques de sécurité.

Les mesures qu’ils ont pu prendre pour montrer leur bonne volonté – demander plus de garanties de sécurité aux développeurs ou permettre aux utilisateurs de contrôle les niveaux de confidentialités, semblent aujourd’hui peu significatives devant l’ampleur du scandale. Facebook, au pied du mur, a pour sa part tenté d’apaiser les esprits en proposant de revoir quelles données étaient partagées avec les applications liées à son compte – mais il semble qu’une révision des politiques de partage des données doive s’opérer plus profondeur.

Consentement éclairé

« Facebook utilise la localisation pour faire marcher certaines fonctionnalités et aider les gens à trouver des lieux ». C’est le type de messages d’autorisations qui sont aujourd’hui critiqués par des chercheurs comme Gennie Gebhart, qui travaille sur la protection de la vie privée à l’Electronic Frontier Foundation. Selon elle, les utilisateurs ne sont pas assez informés de ce qu’ils acceptent, et de ce que deviendront leurs données une fois qu’elles sont collectées. Il s’agit donc de passer aujourd’hui du consentement au consentement « éclairé », avec notamment une meilleure connaissance de ce que deviennent nos données.

« Si Facebook doit stocker vos journaux d’appels et de textes, à perpétuité, cela nécessite plus d’un clic », ajoute ainsi Gebhart. La chercheuse pointe alors du doigt un autre enjeu majeur de ces prochaines années : la conservation des données déjà partagées, qui sont pour le moment extrêmement complexes – voir impossible – à supprimer.