Le groupe de défense, Privacy International, a exposé ses conclusions lors d’une présentation au 35e Congrès “Chaos Computer”, à la fin du mois dernier. L’organisation a testé 34 applications et documenté les résultats dans un rapport téléchargeable.
Les enquêteurs ont constaté que 61% des applications Android testées informaient automatiquement Facebook qu’un utilisateur les avait ouvertes. D’autres données concernant des événements basiques étaient collectées, telles que la fermeture d’une application, ainsi que des informations sur l’appareil et son emplacement potentiel basé sur les paramètres de langue et d’heure. Les applications l’ont fait même lorsque les utilisateurs n’avaient pas de compte Facebook, indique le rapport.
Certaines applications Android sont allées bien au-delà des informations de base sur les événements, en envoyant des données extrêmement détaillées. Par exemple, l’application de voyage Kayak a envoyé régulièrement des informations de recherche, notamment les dates et les villes de départ et d’arrivée, ainsi que le nombre de tickets (y compris des tickets pour enfants).
L’application d’apprentissage des langues Duolingo figurait parmi plusieurs applications, citées dans le rapport, concernant le partage de données supplémentaires, notamment “la manière dont l’application était utilisée, les menus consultés par l’utilisateur et d’autres informations sur les diverses interactions”.
Ce message occasionnel indiquant à un individu que vous avez ouvert une application d’apprentissage des langues et que vous avez décidé de parfaire votre allemand peut paraître anodin, mais Privacy International s’inquiète quand même. Le rapport déclare :
Si elles sont combinées, les données de différentes applications peuvent brosser un tableau détaillé et intime des activités, des centres d’intérêt, des comportements et des habitudes de chacun.
De plus, le rapport indique que ces données SDK basiques pourraient se transformer en une catégorie spéciale de données utilisateur spécialement protégées par le RGPD. Si vous ouvrez une application médicale ou religieuse et que ces données sont envoyées à Facebook, cela pourrait inclure des données relatives à la santé ou aux convictions religieuses de l’utilisateur.
Une telle situation est encore plus probable lorsque les applications envoient ces informations avec un identifiant de publicité Google unique (AAID), ce qui, selon le rapport, est très courant. De nombreuses entreprises de technologie publicitaire synchronisent les AAID sur différents appareils afin d’établir un meilleur profil des activités des utilisateurs sur les appareils mobiles et les ordinateurs de bureau.
Comment Facebook pourrait-il utiliser ces informations ? Parmi les utilisations possibles, qui ont été mises en évidence par le rapport, citons la mise en correspondance de contacts et la création d’audiences pouvant être ciblées. Le réseau social était également réputé, par le passé, pour suivre l’utilisation des applications afin d’obtenir des informations sur les applications utilisées par les internautes, comme c’était le cas du produit Onavo VPN que la plateforme a acheté puis supprimé de l’App Store d’Apple.
Facebook fournit des mécanismes de désactivation censés permettre aux personnes ne disposant pas de compte Facebook de contrôler les annonces qu’elles voient. Cependant, l’utilisation de ces “portes de sortie” n’empêche pas les applications de partager les données d’utilisation des utilisateurs, selon le rapport. Les contrôles améliorés ne régissent pas non plus la manière dont les applications collectent les données, lesquels ont été intégrés par Google dans Android 6.0 et les versions ultérieures.
Les applications partagent ces données d’événement via un kit de développement logiciel (SDK) que les développeurs doivent utiliser s’ils souhaitent que leurs applications interagissent avec le réseau social. Le rapport indique que, même si les développeurs ont été en mesure de restreindre les données d’événement qu’ils ont envoyées pendant un certain temps, le SDK a tout de même envoyé les données de base relatives à l’ouverture des applications dans le cadre d’un processus d’initialisation qu’ils ne pouvaient pas contrôler.
La collecte de données par défaut pourrait avoir comme conséquence une violation par Facebook du Règlement Général Européen sur la Protection des Données (RGPD), selon Privacy International. L’incapacité d’empêcher leurs propres applications d’envoyer des données à Facebook a conduit plusieurs développeurs à contacter Facebook, soulevant ainsi des problèmes de conformité.
Le rapport avertit que le fait de fournir automatiquement les données d’événement de l’utilisateur via le SDK pourrait enfreindre les règles sur le consentement du RGPD, ajoutant que même si l’utilisateur acceptait de se plier aux conditions générales en installant l’application, il ne pourrait pas facilement les révoquer ultérieurement. Ces dernières déclarent la chose suivante :
… dans la mise en œuvre par défaut du SDK, les données à caractère personnel sont transmises à Facebook avant qu’une personne ait eu la possibilité de recevoir des informations supplémentaires ou de consentir à un tel partage de données.
Le 28 juin, Facebook a publié la version 4.34 du SDK, qui autorisait les développeurs à retarder l’envoi des données d’initialisation du SDK jusqu’à ce que le développeur obtienne le consentement de l’utilisateur. Cependant, cette version du SDK est sortie 35 jours après l’entrée en vigueur de RGPD. Même maintenant, les développeurs doivent toujours choisir de retarder l’envoi de ces données par le SDK.
Le rapport suggère que le SDK en l’état actuel pourrait bien violer le principe de protection des données par conception et par défaut du RGPD, selon lequel les entreprises ne doivent collecter que les données dont elles ont besoin à des fins spécifiques :
… la conception du SDK de Facebook ainsi que son implémentation par défaut font exactement le contraire, à savoir le transfert automatique (par défaut) de données personnelles vers Facebook à des fins non spécifiées.
Facebook devrait-il être responsable de la manière dont les développeurs tiers transmettent les données des utilisateurs ? Privacy International le pense, affirmant que la responsabilité est partagée :
Facebook ne peut pas simplement se dégager de la responsabilité des données qui lui sont transmises via le kit de développement logiciel de Facebook en imposant des conditions contractuelles à d’autres personnes, telles que des développeurs ou des fournisseurs d’applications.
Certains développeurs ont déjà répondu suite au rapport Privacy International. Skyscanner, qui utilisait une version du SDK antérieure au mois de juin, a déclaré avoir mis à jour son application pour utiliser une version plus récente et procéder à un audit du suivi du consentement.
Le projet de recherche de Privacy International n’aurait pas pu arriver à un moment plus critique pour Facebook. Le commissaire irlandais à la protection des données a déjà enquêté sur la violation de données de l’entreprise l’année dernière, qui avait vu jusqu’à 50 millions de comptes piratés, afin de déterminer si la plateforme sociale violait ou non le RGPD :
Investigation commenced into Facebook data breach. @DPCIreland statement beneath. #dataprotection #GDPR #eudatap pic.twitter.com/7eHKUigTq5
— Data Protection Commission Ireland (@DPCIreland) 3 octobre 2018
Billet inspiré de Some Android apps are secretly sharing your data with Facebook, sur Sophos nakedsecurity.