donnees de localisation
Produits et Services PRODUITS & SERVICES

Apple se débarrasse des applications qui abusent des données de localisation

A deux semaines de l'entrée en vigueur du Règlement Général sur la Protection des Données de l'Union Européenne (RGPD), Apple se préoccupe, au-delà de sa propre protection de la vie privée/sécurité des données, de celles mises en place par ses développeurs.

Il ne reste que deux semaines avant que le Règlement Général sur la Protection des Données de l’Union Européenne (RGPD) ne soit officiellement appliqué, soit le 25 mai prochain. Certes, les entreprises sont toutes dans les starting-blocks concernant ce nouveau défi en matière de protection des données, ou du moins on l’imagine … !

Ou bien ce n’est pas encore le cas ! Ou bien alors, comme chez Apple, il reste encore quelques efforts à fournir pour s’assurer que les données des clients soient verrouillées, selon 9to5mac.

En effet, Apple se préoccuperait, au-delà de sa propre protection de la vie privée/sécurité des données, de celles mises en place par ses développeurs. Plus précisément, ce dernier a sévèrement réprimé les développeurs dont les applications partageaient des données de localisation, les chassant de l’App Store jusqu’à ce qu’ils éliminent tout code, frameworks ou Software Development Kits (SDK) qui enfreindraient les règles de localisation d’Apple.

9to5mac a vu plusieurs cas dans lesquels Apple avait envoyé un email aux développeurs pour leur faire savoir que “lors d’une réévaluation”, leurs applications s’avéraient enfreindre les sections 5.1.1 et 5.1.2 des App Store Review Guidelines. Ces sections concernent la collecte, le stockage, l’utilisation et le partage des données, ainsi que le fait de permettre aux utilisateurs de savoir quel type de données une application exige (y compris les données de localisation).

Un utilisateur de Twitter a envoyé une capture d’écran de l’avis qu’il a reçu :

9to5mac déclare que dans les cas qu’il a observés, les applications ne font pas assez d’efforts pour permettre aux utilisateurs de savoir ce qu’il advient de leurs données. Apple ne veut pas que les développeurs demandent simplement la permission, il faut expliquer à quoi vont servir ces données et comment elles seront partagées.

Si c’est pour améliorer l’expérience utilisateur, c’est OK. Sinon, les applications disparaîtront.

Vous ne pouvez pas utiliser ou transmettre les données personnelles d’une personne sans avoir préalablement obtenu son autorisation et avoir fourni des informations sur la manière et l’endroit où ces données seront utilisées.  

Les données collectées à partir des applications ne peuvent pas être utilisées ou partagées avec des tiers à des fins sans rapport avec l’amélioration de l’expérience utilisateur ou des performances logicielles/matérielles liées aux fonctionnalités mêmes de l’application.  

Merci à Apple pour avoir entrepris cette démarche préalable auprès de ses développeurs.

Vous n’avez pas besoin de chercher bien loin pour trouver des cas où des données de localisation ont été utilisées par des processus de surveillance, et dans lesquels des informations sur de nombreuses cibles non intentionnelles ont été récupérées. Edward Snowden a révélé l’une des plus célèbres récupérations de données en publiant des documents montrant que la National Security Agency (NSA) recueillait et stockait des données de localisation dans une vaste base de données qui contenait au moins des centaines de millions d’appareils.

Un cas plus récent, remontant à novembre dernier, concernant des appareils Android surpris en train de récupérer secrètement des données de localisation sans se soucier du fait que l’option en question avait été désactivée.

Les données de localisation n’ont jamais été utilisées, a déclaré un porte-parole de Google, et n’ont donc jamais été stockées. Google “a pris des mesures pour mettre fin à cette pratique”, a déclaré le porte-parole à l’époque, “du moins dans le cadre de ce service particulier”. Google n’a pas dit s’il y avait d’autres services Android qui le faisaient.

Qu’est-ce qui va arriver aux entreprises qui font ce type “d’erreur” après la date limite du 25 mai et de l’entrée en vigueur du RGPD ?

Les amendes pourraient être énormes : toute entreprise jugée en non-conformité après cette date pourrait se voir infliger des amendes allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires global annuel de cette dernière.

Si vous avez des questions sur la conformité de votre entreprise, vous pouvez jeter un coup d’œil à la vérification de conformité : Sophos GDPR compliance check, pour une plus grande tranquillité d’esprit.


Billet inspiré de Apple boots out apps that abuse location data collection, sur Sophos nakedsecurity.