Actualités
Protection des données mobiles : la CNIL et l’INRIA s’intéressent au comportement des applications
La Commissions nationale de l’informatique et des libertés
(CNIL) et l’INRIA s’intéressent depuis un an aux smartphones
comme l’iPhone qui sont un compagnon de tous les instants et un véritable
ordinateur de poche pour gérer le quotidien, s’informer, se divertir.
D’ailleurs, il est annoncé qu’il y aurait 24 millions de smartphones en
France.
Dans le cadre de son projet "Mobilitics", ces deux
institutions se sont intéressées aux comportements des applications vis
à vis des données de l’utilisateur :
La CNIL et l’INRIA ont créé un logiciel capable de récupérer et
d’analyser les données utilisées par les applications sur iOS.
Six personnes (membres de la CNIL) et disposant d’un iPhone se sont donc
proposés afin d’observer les données échangées, stockées ou encore diffusées
pendant une période de 3 mois.
Les données surveillées portaient sur l’accès à localisation, aux photos, au
carnet d’adresses, à des identifiants du téléphone, etc.
Premier constat à la fin de la période de test, ce sont pas moins de 9 Go
données, 7 millions d’évènements et 41 000 accès à la géolocalisation (soit 76
par jour) que la CNIL a du analyser pour un total de 189 applications.
Ainsi, 93% des applications demandent l’accès au réseau et
46% à l’UDID (identifiant unique d’Apple) même si les
applications accédant à l’UDID ne seront plus admises à compter du 1er mai.
Pour exemple, l’application d’un quotidien a accédé 1989 fois à
l’identifiant unique et l’a transmis 614 fois à l’éditeur de l’app !
Ces données sont d’ailleurs souvent communiquées à l’insu de l’utilisateur
et la CNIL fait remarquer que celui-ci doit pouvoir accéder aux réglages
permettant de limiter l’accès et l’éventuelle diffusion de ses données.
Ainsi, la CNIL demande un plus grand respect de la part des développeurs ou
des éditeurs avec 4 grandes lignes principales :
- Les développeurs d’application doivent intégrer dès le départ les
problématiques Informatique & Libertés dans une démarche de privacy by
design. La CNIL souhaite développer l’accompagnement des acteurs à cette fin.
Plusieurs équipes Inria travaillent sur la protection de la vie privée et la
société de l’Information, et notamment sur des systèmes/architectures privacy
by design.
- Les magasins d’application doivent inventer des modes innovants
d’information des utilisateurs et de recueil du consentement. La situation
actuelle, binaire, du " à prendre ou à laisser " n’est pas satisfaisante.
- Les paramètres et réglages présents dans les systèmes d’exploitation pour
smartphones sont insuffisants. Un contrôle plus fin pourrait être proposé sans
pour autant dégrader l’expérience utilisateur. Dans le cadre du projet
Mobilitics, la CNIL et Inria ont développé, à titre expérimental, une
démonstration des réglages qui pourraient être proposés par le fournisseur du
système d’exploitation.
- Les acteurs tiers qui fournissent des services et des outils aux
développeurs ne doivent collecter que les données nécessaires et ce, en toute
transparence, vis-à-vis du développeur et par voie de conséquence vis-à-vis de
l’utilisateur final.
La CNIL et Inria vont poursuivre leurs recherches dans le cadre du projet
Mobilitics, notamment sur les autres fournisseurs de systèmes d’exploitation du
marché, ce qui permettra de suivre dans le temps les progrès accomplis par
l’ensemble des acteurs.
Affaire à suivre donc.