Une étude d’Incogni montre que les éditeurs sont loin de respecter le RGPD et la vie privée de leurs utilisateurs. La confidentialité des données laisse à désirer…
Selon une étude menée par l’Université d’Oxford en 2018, les applications partageaient des données personnelles avec 10 entreprises en moyenne. En date du 21 juillet 2022, c’est une application sur deux présente dans la boutique Google Play partage qui délivre vos données avec des tiers.
Incogni, une entreprise qui s’occupe de retirer les données personnelles des data brockers, vient de publier son analyse de 1 000 applications du Google play store.
Premier constat, les grandes entreprises technologiques et en particulier les GAFAM, telles que Meta, collectent le plus de points de données mais prétendent en partager le moins.
Qui dit gratuit, dit usager considéré comme un produit. Et cette règle se confirme dans cette étude : les applications gratuites partagent en moyenne 7 fois plus de points de données que les applications payantes.
Des apps « achats » très curieuses
Cela peut s’expliquer par le fait que les applications gratuites sont téléchargées 400 fois plus souvent que les programmes payants en moyenne.
Et plus une application est populaire (avec plus de 500 000 téléchargements), plus elle partage en moyenne 6,15 fois plus de points de données que les applications moins populaires. C’est surtout le cas pour la catégorie« achats » : ce type d’applications partagent en moyenne 5,72 points de données.
En ce qui concerne les types de données utilisateur partagées par les applications sur Google Play, les contributions les plus importantes proviennent des interactions entre les applications, des journaux de pannes et des diagnostics.
Toutefois, un nombre important d’applications partagent des informations permettant d’identifier les utilisateurs, telles que les noms (4,77 %), les adresses électroniques (6,77 %) et les adresses personnelles (3,85 %).
Plus inquiétant encore, de nombreuses applications partagent l’historique de votre localisation : 13,4 % des applications partagent votre localisation approximative, tandis que 3,85 % partagent votre géolocalisation précise.
La section relative à la sécurité des données est remplie par les développeurs selon un « système d’honneur », ce qui signifie qu’ils doivent faire des déclarations complètes et précises dans la fiche de leur application sur le site de la boutique.
En outre, il est important d’examiner ce que Google entend par « partage » des données. Selon la définition de Google, le partage est le transfert des données de l’utilisateur à un tiers. Cela peut inclure le transfert vers un serveur hors appareil, une autre application ou une page Web ouverte par votre application.
Réidentifier correctement des données anonymes
Cependant, Google ne divulgue pas tous les types de transfert de données. Par exemple, tout transfert effectué vers un fournisseur de services ou à des fins juridiques, ainsi que le transfert de données anonymes, ne sera pas explicitement mentionné dans la section de Google Play consacrée à la sécurité des données.
Cela ne signifie pas pour autant que ces types de transfert de données sont sans importance et doivent être négligés. En effet, selon des recherches menées par l’Imperial College London et l’Université catholique de Louvain (Belgique), il est possible de réidentifier correctement 99,98 % des données anonymes.
Cela signifie qu’au-delà des informations de partage de données fournies par les développeurs dans la nouvelle section de sécurité de Google Play, il y a beaucoup plus de données identifiables qui sont transférées à des tiers.
Cela nous amène à nous demander si l’on peut faire entièrement confiance à la section de sécurité de Google Play. Bien qu’il soit possible de modifier la section de sécurité des données depuis fin avril 2022, un peu plus d’un tiers des applications sur le Google Play Store n’ont ajouté aucune étiquette de sécurité des données jusqu’à deux semaines avant la date limite (20 juillet).
Impossible de faire supprimer des données perso
La plupart des applications développées par de grandes entreprises n’ont ajouté les étiquettes de sécurité qu’au cours des deux dernières semaines. En moyenne, les applications qui n’ont pas ajouté les étiquettes de sécurité ont été téléchargées 2,2 fois plus souvent que celles qui l’ont fait.
Incogni a également examiné les mesures de sécurité mises en place par les applications du Google Play Store. Résultat, 4,9 % admettent ne pas chiffrer les données en transit. Cela rend les informations personnelles vulnérables aux violations.
« Il est également inquiétant de constater que seulement 13,1 % des applications s’engagent à respecter la politique des familles de Play. Et seulement 0,8 % ont fait l’objet d’un examen de sécurité indépendant (il s’agit de toutes les applications Google, à l’exception d’Instacart : Grocery delivery et Uber Eats : Food Delivery) », lit-on dans ce rapport.
Quant à la suppression des informations personnelles, certains éditeurs ne connaissent pas (ou se moquent) le RGPD : 10 % des applications sur Google Play déclarent carrément que les données personnelles qu’elles collectent ne peuvent pas être supprimées. Et seules 39 % d’entre elles proposent un moyen de demander la suppression des données.