Le scandale de la géolocalisation des appareils sous Android par Google, sans le consentement des utilisateurs, n'est pas un cas isolé. Une association française, Exodus Privacy, a analysé les logiciels du système Android pour smartphone et démontre que la plupart d'entre eux aspirent les données privées. Explications.
Depuis janvier 2017, même si vous n'activez pas la géolocalisation sur votre smartphone fonctionnant avec le système d'exploitation Android, vous étes malgré tout… géolocalisé. Google collecte en réalité les adresses des antennes de téléphonie mobile environnantes, avant de les transférer sur ses serveurs, ce qui permet donc à l'entreprise de savoir précisément où est chaque utilisateur, sans que ce dernier ne puisse rien y faire. L'explication fournie par l'entreprise californienne est que la collecte d'adresses d'antennes est effectuée "pour gérer les notifications push et les messages sur les téléphones Android". Cette collecte aurait démarré il y a 11 mois avec la mise à jour de Firebase Cloud Messaging, un service de messagerie et de notification qui appartient à Google depuis 2014, intégré par défaut dans tous les smartphones Android,
explique le site d'information spécialisé en ligne Zdnet.
Cette faculté des entreprises du numérique à collecter et traiter les données des utilisateurs sans leur consentement — et donc à leur insu — devient un véritable problème du point de vue de la "privacy", le terme générique anglais pour parler du droit au respect de la vie privée. Google a affirmé ne pas stocker les données de localisation des smartphones Android, mais le mal est fait : chaque utilisateur est en droit de se demander désormais quelle maîtrise il conserve de son smartphone et jusqu'à quel point ce qu'il veut ne pas communiquer à l'extérieur l'est quand même. Une association française vient justement de se créer à ce sujet, après avoir débuté une expérience qui révèle cet aspect très dérangeant de l'écosystème des smartphones :
Exodus Privacy.
Exodus Privacy : analyse des apps Android en cours
Les membres de cette association se présentent eux-mêmes comme des "hacktivistes", contraction de hacker et d'activiste : des spécialistes en informatique défendant des valeurs liés aux technologies numériques et orientés autour des libertés individuelles et du droit à la vie privée.
La spécificité d'Exodus Privacy est d'avoir déployé
des outils d'audit d'applications sous Android afin de savoir, pour chacune d'entre elles, ce qu'elles faisaient précisément, au delà des fonctions pour lesquelles elles étaient offertes ou vendues aux usager. L'association met à disposition les rapport de ces audits. Pour chaque "app" auditée, il est possible de connaître toutes les permissions accordées à l'application sur l'appareil et les "trackers" déclenchés. De façon simple : les permissions sont les différents accès aux paramètre de votre téléphone que l'application se donne le droit d'utiliser et les trackers sont des petits logiciels qui renvoient des données contenues dans celui-ci… vers des entreprises tierces.
Un exemple :
l'application "20 minutes" du journal gratuit éponyme, active au moins 9 trackers différents qui collectent des données et les transferent vers des entreprises, et pas moins de 22 permission accordées à l'app sur le smartphone :
Transparence sur l'obscur commerce des données personnelles
L'association fait apparaître, dans le cas de l'application 20 minutes, que celle-ci accède aux "favoris" de l'historique de navigation. Ce sont donc des informations personnelles — des adresses de sites internet — que chaque utilisateur choisit de conserver dans son navigateur, qui sont exfiltrées vers… des société commerciales.
Que font ces entreprises de ces informations qui appartiennent à l'utilisateur ? Qui les achète, les revend, comment sont-elles conservées, avec quelle durée ? Des bases de données avec des profils d'utilisateurs sont elles créées pour être ensuite utilisées par des logiciels spécifiques, lesquels ? A quelles fins précises ?
Le caractère invisible et muet de ces opérations est problématique. D'un point de vue juridique, ces procédés ne sont pas encore véritablement encadrés, puisque l'utilisateur approuve les règles d'utilisation par défaut à chaque téléchargement d'une application. Mais il n'est pas mis au courant du traitement opéré sur ses données, ni quels accès les applications rn question se donnent le droit d'obtenir sur le smartphone.
Le cas de l'application Ikea Store est troublant, puisque celle-ci se donne le droit d'accéder à la caméra, au bluetooth, au Wifi de l'utilisateur. Un seul tracker est installé, mais il est celui d'une firme américaine spécialisée dans le traitement des Big data commerciales (mégadonnées) et s'arroge tous les droits sur les données des utilisateurs qu'elle récupère; puis qu'elle les traite et les revend.
Exodus Privacy rend transparent l'obscur commerce des données personnelles aspirées à l'insu des usagers : à chacun désormais de savoir ce qu'il veut ou non "offrir" de sa vie privée, sans aucun contrôle sur celle-ci lorsqu'il installe une application. Mais en conservant à l'esprit que "si c'est gratuit, c'est que c'est vous le produit… la plupart du temps".