Une étude réalisée pour De Tijd et L’Echo par des chercheurs de l’Université de Berkeley (Etats-Unis) et la société belge Collibra, spécialiste en data, démontre comment les applications Android les plus anodines sont utilisées pour approvisionner des entreprises avec vos données personnelles.

"Super Bright LED flashlight" est une application qui transforme votre smartphone en une puissante lampe de poche. C’est pratique dans l’obscurité, parfois amusant dans les fêtes (grâce à son option "strobo"), et utile, car elle permet de faire clignoter votre téléphone en cas d’appel ou de message entrant. Mais ce que cette app – créée à Hong Kong et déjà téléchargée plus de 500 millions de fois dans le monde – ne vous dit pas, c’est qu’elle envoie en même temps, et en toute discrétion, vos données personnelles à des tiers. Utilisez votre lampe de poche pendant dix minutes, et dix entreprises au moins auront déjà reçu vos données personnelles.

Idem avec le très populaire jeu de Scrabble en ligne Wordfeud. Pendant que vous défiez d’autres joueurs, au moins deux entreprises font main basse sur certaines de vos données en moins de temps qu’il ne faut pour le dire.

Ces deux exemples ne sont que quelques-uns parmi les 100 apps les plus populaires sur le marché belge, tournant sur la plate-forme Android de Google. A notre demande, ces applications – sélectionnées sur base du classement des apps les plus souvent téléchargées au cours du mois d’août – ont été passées au crible par des chercheurs de l’Université de Berkeley aux Etats-Unis et par la société belge Collibra, spécialisée en data.

Quelles applications font fuiter vos données personnelles? Nous avons passé au crible les 120 applications les plus téléchargées en Belgique. Faites le test sur lecho.be/ageofdata

34 apps sur 100 mises en cause

Parmi ces 100 applications testées, 34 – soit un tiers – semblent détourner en douce vos informations personnelles, sans que vous en soyez conscient, la plupart du temps sans vous demander l’autorisation et sans que vous soyez informé des entreprises qui reçoivent ces données et de leurs intentions.

De plus, un sixième des apps testées semblent enfreindre la propre politique de respect de la vie privée de Google, propriétaire de la plate-forme Android. Elles envoient des combinaisons de données personnelles qui ne sont en principe pas autorisées par Android, précisément parce qu’elles portent atteinte à la vie privée des utilisateurs.

Un sixième des apps testées semblent enfreindre la propre politique de respect de la vie privée de Google, propriétaire de la plate-forme Android.

"La plupart des utilisateurs n’ont aucune idée de l’échelle à laquelle leurs données personnelles quittent leur téléphone. Et si vous ignorez ce qui se passe, comment prendre les décisions appropriées? Beaucoup pensent: ‘Tant que mes apps me sont utiles…’ Mais en tant que consommateur, vous n’avez aucune idée de l’endroit où aboutissent ces données identitaires", explique Serge Egelman, l’expert universitaire américain qui a passé les apps au crible. Les résultats confirment ceux d’une enquête plus vaste réalisée par la même équipe de chercheurs et qui porte sur des milliers d’apps Android.

Cette enquête révèle comment votre smartphone transfère en toute discrétion des détails personnels vous concernant. Elle lève le voile sur le négoce invisible et opaque des données personnelles qui se passe derrière nos écrans. Les données – comme votre localisation précise, votre numéro de téléphone, ou autres informations vous concernant – se retrouvent entre les mains d’entreprises externes spécialisées en data qui les utilisent pour élaborer des profils détaillés des utilisateurs et les bombarder ensuite de publicités ciblées. Ajoutées aux informations que vous fournissez via les réseaux sociaux ou sur les sites internet que vous visitez, ces données permettent de reconstituer pas à pas le puzzle concernant qui vous êtes, vos intérêts et vos activités. Sur base de ces informations, les agences de publicité décident de vous envoyer certains messages et essaient de deviner quels sont les produits susceptibles de vous intéresser ou pour quel parti vous êtes prêt à voter.

Les jeux mobiles, les plus néfastes

Parmi les apps les plus néfastes, on trouve entre autres les petits jeux mobiles qui aident à passer le temps et qui sont truffés de publicités comme Helix Jump et Happy Water. Dans ces jeux, vous devez respectivement laisser tomber une balle le long d’obstacles, ou tracer une ligne pour faire tomber de l’eau dans un verre. Ces activités addictives peuvent également nuire au respect de votre vie privée. Pendant le court test de dix minutes que nous avons pratiqué, 23 entreprises externes ont reçu des concepteurs d’Helix Jump des informations concernant l’utilisateur, et 20 de Happy Water. Certes, les deux apps vous demandent au préalable si vous êtes prêt à partager certaines données, mais elles restent vagues sur leurs intentions et compliquent singulièrement la tâche de ceux qui refusent.

Vue en plein écran ©ANP

Ce n’est bien entendu plus une surprise d’apprendre que nous laissons des traces digitales personnelles via notre smartphone. Nous sommes déjà depuis longtemps habitués à donner une contrepartie en échange d’une technologie la plupart du temps gratuite. Mais les résultats démontrent à quel point il est difficile – malgré l’importance que les sociétés technologiques prétendent accorder au respect de la vie privée – de protéger ses données sur internet. Ils révèlent aussi les voies détournées utilisées par l’industrie pour contourner les règles.

"En Europe, tout cela devrait être régulé par la directive RGPD", estime Egelman. "Mais les violations sont généralisées. Un an et demi après l’entrée en vigueur de la directive, personne n’a jugé utile d’analyser le trafic à grande échelle de données personnelles collectées illégalement. C’est en soi déjà très inquiétant."

→ En clair: Le RGPD en six questions

Les données que votre smartphone collecte et retransmet via des apps apparemment innocentes varient. Il peut s’agir d’informations comme votre adresse e-mail ou le numéro de série de votre téléphone. Mais aussi de codes personnels ou liés à votre appareil. Ces données identifiables sont dans de nombreux cas ineffaçables – dans le jargon, on les dit "persistantes". Par exemple, chaque smartphone dispose d’un code IMEI unique à 15 chiffres, pour le protéger contre le vol et qui peut se comparer au numéro de série gravé sur un vélo. Au total, il existe plus de dix types de données permettant de vous identifier. S’y ajoutent les données des réseaux wifi de votre entourage, qui peuvent indiquer où vous vous trouvez, même si vous avez désactivé la fonction de localisation.

Les apps qui ont été testées tournent toutes sur Android, la plateforme du leader mondial Google, qui pilote plus de 60% des smartphones en Belgique. Il n’a pas été possible d’enquêter sur les apps iPhone pour la simple raison que le système d’exploitation iOS n’est pas "open source" et que le code source n’est pas accessible. Les conclusions pour les utilisateurs d’un iPhone ne sont donc pas disponibles.

Vue en plein écran ©Shutterstock

Un des codes identifiables est celui que l’on connaît sous le nom "advertisement id" que les utilisateurs d’Android se voient attribuer. Ce code est comparable aux cookies des sites internet: il retrace vos activités et donne aux annonceurs la possibilité de personnaliser leurs publicités. 44 des apps testées envoient ce code. Il est important de savoir qu’il peut être réinitialisé, afin que vous puissiez chaque fois que vous le souhaitez effacer les informations collectées à votre sujet et obliger les publicitaires à repartir de zéro pour vous profiler. Cette option – qui est "cachée" au plus profond de vos appareils – a été conçue par Android en tant que mesure de protection de la vie privée.

Google n’autorise cependant pas les apps à envoyer conjointement cette "ad id" avec d’autres types de données d’identification à une entreprise extérieure. Car ces autres données ne sont pas – ou alors très difficilement – réinitialisables, ce qui compromet totalement la garantie de respect de la vie privée. Même si vous exigez de ne pas être tracé en changeant régulièrement d’ad id, ces apps continuent malgré tout à vous suivre. Dans notre échantillon, 16 applications semblent ne pas respecter ces règles.

Google a déjà fait comprendre qu’il comptait renforcer sa politique de respect de la vie privée. La prochaine version d’Android, bientôt commercialisée, devrait remédier à ce défaut. Mais il faudra malgré tout du temps avant que tous les smartphones Android aient effectivement installé cette mise à jour.

Doutes autour des apps de BNP Paribas Fortis et la SNCB

Les apps conçues en Belgique se révèlent généralement être de bonnes élèves. Malgré tout, l’app de BNP Paribas Fortis diffuse la combinaison illégale de données. L’app de la SNCB envoie aussi un "identifiant" difficile à réinitialiser.

Les entreprises qui reçoivent vos données font partie d’un écosystème nébuleux qui comprend quelques très grands et de nombreux petits et obscurs courtiers en datas, spécialisés chacun à leur manière dans le profilage précis des individus. En tant que personne, vous ne savez pas qui reçoit vos données et avec qui elles sont partagées et vous n’avez pas le choix. Il ne faut donc pas s’étonner que Google et Facebook, suivis par quelques géants des datas comme Oracle et Acxiom, soient gourmands de données. Tous exploitent les données personnelles qui, combinées entre elles et traitées par des algorithmes complexes, permettent d’élaborer un profil très précis de chaque individu – ou du moins un profil leur permettant de gagner de l’argent.

Avez-vous parfois l’impression que Facebook ou Google vous épient? Vous parlez avec votre conjoint à propos de votre prochaine destination de vacances, et quelques minutes plus tard vous recevez sur votre écran des informations sur des voyages en avion? Et bien, cette théorie a été plusieurs fois remise en question au cours d’enquêtes approfondies. Facebook et Google ne vous écoutent pas au sens premier du terme, ne fût-ce parce qu’il est techniquement impossible de "streamer" en permanence de l’audio de votre smartphone vers les serveurs de l’entreprise. Certaines entreprises écoutent littéralement des parties de conversation via des micros intelligents, mais cette pratique est uniquement utilisée pour améliorer la technologie de reconnaissance vocale.

Le courtage de données, un marché hermétique

Mais la réalité est peut-être pire. Il n’est pas nécessaire de vous écouter, car on en sait déjà beaucoup sur vous grâce à l’analyse de votre comportement en ligne et sur mobile. Donc si vous recevez au bon moment des publicités pour des voyages, c’est parce que l’analyse de centaines voire de milliers de données permet de prédire que vous êtes sur le point de réserver un billet d’avion pour le soleil.

Vue en plein écran ©AFP

L’industrie du courtage en données qui négocie des accès ciblés à des profils est un marché hermétique, qui d’après la Commission Européenne devrait représenter plus de 106 milliards d’euros d’ici l’an prochain. Le système va d’ailleurs bien plus loin que la publicité, et peut par exemple influencer la décision de recruter telle ou telle personne ou d’accorder ou non une couverture d’assurance. Ces formes poussées de profilage ont aussi un impact sur la démocratie, comme l’a révélé le scandale Cambridge Analytica. Cette firme de data établissait des profils d’électeurs pour influencer leur vote de manière très ciblée.

Paul-Olivier Dehaye, un spécialiste bruxellois du respect de la vie privée – et qui gère depuis Genève l’ASBL PersonalData.io – s’insurge contre l’asymétrie des informations. "Ils savent des choses vous concernant, ce qui leur donne plus de pouvoir." Pour Dehaye, ce système mène à des abus. Il permet par exemple via des publicités de manipuler des parieurs qui ont tendance à développer une addiction au jeu en les poussant à dépenser davantage. Dehaye raconte l’histoire d’un homosexuel qui n’avait pas déclaré ses préférences sexuelles à ses amis et à sa famille, mais qui avait créé un profil sur l’app de rencontres Grindr. Depuis, il reçoit des publicités d’organisations proposant leur aide aux personnes atteintes du SIDA, propositions qui par ailleurs semblent être bidon.

Tout cela peut aussi conduire à des situations cauchemardesques. "Si le système fonctionne à la perfection, il devient orwellien", estime Dehaye. "Il s’agit d’une dictature des data qui connaît tout de vous. Mais s’il ne fonctionne pas bien, il devient kafkaïen. Les citoyens peuvent alors se retrouver dans des ‘cases’ qui ne leur correspondent pas du tout et doivent mener d’épuisantes batailles pour corriger cette situation. En principe, ces services nous classent tous dans une case unique, aussi petite que possible, élaborée selon nos caractéristiques. C’est de l’hyper personnalisation. Imaginez que certaines personnes se voient refuser un crédit sur base de leur profil de données! Avec des décisions prises par des algorithmes sans aucun contrôle! On pourra alors parler d’algocratie."