En septembre, l'ONG néerlandaise SDBN a proposé une action collective contre XCorp (anciennement Twitter) pour avoir illégalement suivi ses utilisateurs et collecté des données personnelles à des fins publicitaires.
L'action concerne également MoPub, une plateforme de publicité mobile qui appartenait autrefois à Twitter et qui a ensuite été vendue à AppLovin. L'implication de MoPub est importante car ses traceurs se retrouvent dans des milliers d'applications, y compris des services populaires tels que Shazam et Duolingo.
À peu près au même moment, l'ONG noyb a déposé des plaintes contre trois applications mobiles auprès de l'autorité française de protection de la vie privée, affirmant que ces applications tracent illégalement les utilisateurs. De plus amples informations sur ces plaintes sont disponibles sur le site web de l'organisation.
Les régulateurs de l'UE sont enfin appelés à faire appliquer la loi contre les applications mobiles. Mais quel est le problème des traceurs et des applications mobiles, et pourquoi ces affaires sont-elles importantes ?
- Un problème négligé
- Comment fonctionne le suivi mobile ?
- Le suivi des mobiles est-il préoccupant ?
- Que dit le GDPR à propos du tracking mobile ?
- Que faut-il savoir sur ces affaires ?
- Pourquoi ces affaires sont-elles importantes ?
- Les choses vont-elles évoluer favorablement ?
Un problème négligé
Le pistage et la publicité comportementale sont des sujets brûlants dans la communauté de la protection de la vie privée depuis un certain temps déjà. Ce n'est pas une surprise, car de nombreuses entreprises utilisent des outils tels que Meta's Pixels ou Google Analytics.
L'actualité est riche en la matière, qu'il s'agisse de l'amende de 400 millions d'euros infligée à Meta pour le suivi et le profilage illicites des utilisateurs de Facebook et d'Instagram ou de la procédure en cours de la DPA belge sur le cadre de transparence et de consentement de l'IAB Europe.
Les applications mobiles ne bénéficient pas du même degré d'attention que la technologie de suivi traditionnelle basée sur les cookies. Examinons donc de plus près la manière dont les applications suivent leurs utilisateurs et voyons pourquoi la surveillance des applications constitue une menace considérable pour la vie privée.
Comment fonctionne le suivi mobile ?
Vous êtes probablement familier avec le suivi basé sur les cookies sur l'internet. Les entreprises souhaitent identifier les visiteurs afin d'évaluer les performances de leurs sites web et de leurs campagnes de marketing. Le plus souvent, elles souhaitent également suivre leurs visiteurs sur le web afin d'afficher des publicités personnalisées basées sur des données personnelles telles que les centres d'intérêt, la localisation, les données démographiques, etc.
La plupart des sites web le font en plaçant des cookies dans le navigateur de l'utilisateur, ce qui ne peut se faire qu'avec le consentement de l'utilisateur en vertu de la législation européenne (les règles générales sont un peu plus compliquées que cela, mais c'est ainsi que cela fonctionne pour l'analyse web en résumé).
Le suivi mobile est différent : les applications extraient des données directement de l'appareil de l'utilisateur et les envoient à la société mère des kits de développement logiciel (SDK) intégrés dans les applications.
Les SDK sont en quelque sorte des "blocs de construction" qui permettent aux développeurs de logiciels de créer plus facilement une application. Un SDK est essentiellement un ensemble de codes préétablis qui permet aux applications d'effectuer des tâches telles que l'authentification des utilisateurs, la récupération d'informations à partir d'une API, le partage de données, etc. Les entreprises peuvent gagner beaucoup de temps de développement en incluant un SDK dans leur application au lieu de programmer des fonctions complexes à partir de zéro.
Les SKD sont très utiles pour les développeurs de logiciels. Sur le marché des applications mobiles, qui évolue rapidement et est très concurrentiel, les entreprises se font constamment la course pour occuper un créneau avant que la concurrence ne les devance. Il est essentiel pour les développeurs de sortir leur produit rapidement, et les SDK sont le moyen le plus simple d'y parvenir. L'utilisation des SDK est une pratique courante dans le secteur, et nous en avons tous plusieurs sur nos smartphones.
Mais il y a un hic. Les SDK sont généralement mis à disposition gratuitement, mais ils comprennent un code qui extrait des informations des utilisateurs finaux et les fournit à l'entreprise qui a développé le kit. Les développeurs obtiennent donc les SDK gratuitement, et vous les payez avec vos données lorsque vous téléchargez l'application.
Le suivi des mobiles est-il préoccupant ?
Si vous suivez notre blog, vous savez probablement que nous ne sommes pas les plus grands fans des cookies. Le suivi via les applications mobiles est encore pire, pour plusieurs raisons.
Tout d'abord, les applications sont sournoises. Vous pouvez vérifier vos cookies en quelques clics dans votre navigateur, mais il faut beaucoup de travail et de savoir-faire pour savoir quelles données vos applications collectent sur votre téléphone.
Les plaintes déposées par Noyb en sont un bon exemple. Le site web de l'organisation explique en détail comment noyb a découvert quelles données personnelles étaient collectées et partagées. noyb a d'abord déraciné un appareil, puis a utilisé un logiciel tiers pour capturer et décrypter le trafic sortant. Ce n'est pas très convivial.
En outre, les navigateurs permettent aux utilisateurs de contrôler les cookies, puisqu'ils peuvent être effacés en quelques clics. Les utilisateurs n'ont pas ce contrôle sur les applications mobiles.
Les systèmes d'autorisation d'accès que l'on trouve dans la plupart des systèmes d'exploitation permettent à l'utilisateur de contrôler dans une certaine mesure la collecte des données, par exemple en lui permettant de refuser l'accès aux données de localisation ou au microphone de l'appareil. Toutefois, les autres données personnelles ne sont pas verrouillées par le système d'autorisation. En outre, certaines applications exigent simplement les données pour fonctionner, ce qui revient à faire chanter l'utilisateur pour qu'il fournisse des données inutiles.
Le suiviinter-appareils est également trivial pour les applications mobiles, car de nombreux utilisateurs installent les mêmes applications sur différents appareils et se connectent avec le même profil.
Enfin, de nombreuses applications utilisent les mêmes SDK et transmettent des données aux mêmes entreprises, y compris les suspects habituels tels que Google et Meta. Cette centralisation représente un risque important pour la vie privée : les données collectées par certaines applications peuvent sembler inoffensives, mais elles peuvent être très révélatrices lorsqu'elles sont combinées avec des données provenant d'autres applications.
Supposons que vous utilisiez une application de santé mentale et une application de suivi des calories. Vous les utilisez souvent ensemble parce que vous avez tendance à chercher du réconfort dans la nourriture lorsque vous êtes triste ou anxieux. Si les applications utilisent les mêmes SDK, il se peut que vous voyiez des publicités pour la livraison de nourriture lorsque vous visitez un site web après avoir utilisé l'application de santé mentale. La combinaison des données provenant de vos applications permet au développeur du SDK de tirer parti de vos comportements de recherche de réconfort.
Il ne s'agit là que d'un exemple des stratégies publicitaires prédatrices et contraires à l'éthique rendues possibles par la centralisation des données personnelles sur le marché de la publicité mobile. Imaginez ce que les entreprises peuvent faire avec quelques applications supplémentaires sur votre téléphone.
Que dit le GDPR à propos du tracking mobile ?
Nous disposons déjà de règles garantissant que les applications mobiles respectent la vie privée des utilisateurs, mais nous ne les avons pas suffisamment appliquées.
En vertu de la directive "vie privée et communications électroniques", le consentement est requis pour la lecture et l'écriture de toute donnée sur l'appareil de l'utilisateur. Cela inclut les identifiants de suivi que les SDK inscrivent généralement sur les appareils mobiles, ainsi que d'autres données ayant une valeur économique, telles que les données de localisation. Dans la pratique, de nombreuses applications ignorent totalement cette exigence ou extorquent le consentement en refusant de fonctionner si l'utilisateur ne leur fournit pas les données qu'elles souhaitent (ce qui n'est pas autorisé par le GDPR).
(Pour être clair, il est normal que les applications demandent les données dont elles ont réellement besoin. Google Maps a besoin de votre position, pas Tinder).
La transparence est également très problématique pour les applications. En vertu du GDPR, chaque fois qu'une personne recueille vos données, elle est tenue de vous fournir certaines informations essentielles : quelles données sont recueillies, par qui, dans quel but, si elles seront partagées avec des tiers, etc. Mais la plupart des applications fournissent des politiques de confidentialité incomplètes, car les entreprises elles-mêmes n'ont souvent aucune idée des données que leurs applications collectent par l'intermédiaire des SDK.
Que faut-il savoir sur ces affaires ?
Les plaintes déposées par Noyb visent trois applications mobiles populaires disponibles sur le marché français : FNAC, Se Loger et MyFitnessPal (qui, par coïncidence, utilise les SDK de MoPub). Comme expliqué dans cet exemple de plainte, Noyb affirme que les applications traitent illégalement des données sans le consentement de l'utilisateur, ce qui est contraire à la directive "vie privée et communications électroniques" de l'UE et aux lois françaises qui la mettent en œuvre. Noyb affirme également que les applications violent le principe de protection des données par conception et par défaut du GDPR en collectant des données inutiles.
Il convient de noter que la Commission nationale de l'informatique et des libertés (CNIL) a récemment infligé de lourdes amendes pour traçage illégal(dont nous avons parlé). Nous pensons que noyb dispose d'arguments solides et que la CNIL prendra l'affaire très au sérieux. Bien entendu, seul l'avenir nous le dira.
En ce qui concerne le recours collectif contre X Corp, le site web du SDBN affirme que des milliers d'applications ont collecté des données personnelles sans consentement par l'intermédiaire des traceurs de MoPub. Nous ne savons pas grand-chose de plus, car le communiqué de presse de l'organisation ne décrit l'action en justice que dans les grandes lignes.
Il convient de noter que l'organisation agit au nom de millions de personnes, ce qui pourrait donner lieu à l'octroi de dommages et intérêts substantiels par les tribunaux néerlandais.
Pourquoi ces affaires sont-elles importantes ?
Comme nous l'avons expliqué, les questions de protection de la vie privée soulevées par les applications mobiles ne reçoivent pas l'attention qu'elles méritent, et les éditeurs d'applications mobiles et les distributeurs de kits de développement logiciel (SDK) n'ont jusqu'à présent fait l'objet que de peu d'actions en justice.
Les actions en justice du SDBN et de Noyb devraient changer la donne. Noyb est une organisation bien connue dans la communauté de la protection de la vie privée, et la CNIL est une autorité influente. Les plaintes de Noyb ne manqueront pas d'attirer l'attention si elles sont favorables à l'ONG.
Quant à SDBN, son action en justice pourrait coûter beaucoup d'argent à X Corp. Mais surtout, elle concerne indirectement des milliers d'applications, dont des services populaires tels que Shazam et MyFitnessPal. Cette action en justice pourrait donc avoir un impact sur les traqueurs présents dans d'innombrables services.
Les choses vont-elles évoluer favorablement ?
Nous l'espérons, et il y a des raisons d'être optimiste.
La centralisation rend le marché de la publicité mobile rentable, mais peut aussi rendre le modèle commercial vulnérable aux litiges. Une action en justice réussie contre les propriétaires de SDK omniprésents peut avoir un impact sur des milliers d'applications et faire des vagues sur l'ensemble du marché, en particulier si une affaire devait être portée devant la Cour de justice de l'Union européenne ou le Conseil européen de la protection des données.
En outre, les futures plaintes contre le suivi des mobiles relèveront probablement de la directive "vie privée et communications électroniques" et contourneront le système notoirement inefficace du GDPR pour le traitement des affaires transfrontalières. Cela pourrait permettre d'accélérer les procédures, car les plaintes seraient tranchées dans l'État où elles ont été déposées, au lieu de faire des allers-retours entre les différents États membres.
Depuis des années, les applications mobiles se profilent à l'arrière-plan de nos téléphones, accumulant discrètement des données personnelles à grande échelle. Il faut espérer que ces actions en justice attireront l'attention sur la question du suivi des mobiles et inciteront les régulateurs à appliquer plus rigoureusement les règles à long terme.
Comme vous l'avez sans doute compris, nous n'aimons pas le pistage. Nous pensons qu'il est irresponsable, dangereux et contraire à l'éthique. C'est pourquoi nous avons créé Simple Analytics afin de fournir à nos clients toutes les informations dont ils ont besoin, sans collecter de données personnelles auprès de l'utilisateur final. Si cela vous convient, n'hésitez pas à nous essayer !