Le smartphone concentre beaucoup de données personnelles saisies par l’utilisateur. Mais il en génère également au travers des capteurs et interfaces de communication dont il est doté : à chaque appel téléphonique ou SMS, utilisation d’un navigateur Web ou d’une application, des traces de ces activités sont créées. Notre smartphone sait donc énormément de choses sur nous, à la fois dans le monde virtuel d’Internet et dans le monde physique réel (déplacements, habitudes, paramètres biologiques…). La liste de nos applications est aussi porteuse de sens puisque celles-ci correspondent à nos centres d’intérêt et besoins. Un smartphone peut donc fournir de nombreuses données personnelles qui font vivre tout un écosystème.
Le modèle économique des applications pour smartphone
Au départ de cet écosystème se trouve l’utilisateur. L’utilisateur va chercher ses applications dans un magasin d’applications (store). Ces applications ont été conçues par des développeurs. Deux autres acteurs, moins connus du public, interviennent également : divers annonceurs, qui veulent faire passer des messages publicitaires, et des régies publicitaires. Comment ce modèle économique fonctionne-t-il ?
Pour avoir un retour financier, le développeur de l’application (souvent gratuite) passe un contrat avec une régie publicitaire et inclut dans son application un petit tracker ou logiciel espion (ou espiogiciel) fourni par cette dernière. Dès que l’utilisateur démarre l’application, l’espiogiciel collecte et transmet un certain nombre de données personnelles sur l’utilisateur (comme la liste des applications utilisées, des informations de géolocalisation, des identifiants techniques ou autres) à la régie publicitaire. La régie peut ainsi construire un profil utilisateur et l’enrichir au fil des jours, parfois même grâce aux données collectées par d’autres applications du smartphone.
Si l’application permet d’afficher une publicité, la régie déclenche une enchère en temps réel en annonçant, par exemple, qu’il s’agit d’une femme de moins de 25 ans intéressée par la mode. Parmi les annonceurs intéressés par un tel profil, l’annonceur qui remporte l’enchère fournit sa publicité et paie un petit montant (quelques fractions de cents) à la régie. La régie déclenche alors l’affichage de la publicité sur le smartphone de l’utilisateur, garde une partie de la somme gagnée et redistribue une autre partie au développeur de l’application. Le volume d’informations captées par les régies étant énorme, ce marché autour de la publicité ciblée est très lucratif.
En théorie, tous les acteurs trouvent leur compte dans ce modèle « gratuité contre publicité ciblée ». Mais nous connaissons tous l’adage « si c’est gratuit, c’est vous le produit » – en réalité, ici c’est l’annonceur qui paie à la place de l’utilisateur. Le modèle trouve ses principales limites dans la complexité de l’écosystème, trop obscur pour que l’utilisateur puisse accorder sa confiance, dans la disproportion fréquente entre les données personnelles collectées (profilage continu) et le service fourni à l’utilisateur, dans le manque d’information et de contrôle de l’utilisateur sur le devenir des données collectées – souvent immédiatement transmises vers des serveurs hors Europe, où notre législation ne s’applique plus et où la CNIL ne peut pas pratiquer de contrôles. L’utilisateur n’a pas non plus de garanties sur les conditions de stockage, de sécurité, sur la revente de ses données à des acteurs tiers…
Un consentement libre et éclairé… en théorie
Le Règlement général sur la protection des données exige d’obtenir le consentement libre et éclairé de l’utilisateur : libre parce que l’utilisateur doit pouvoir refuser que ses données soient collectées ; éclairé car l’utilisateur doit être informé des finalités de la collecte. Examinons les cas de Google et Apple qui couvrent à peu près 90 % du marché français.
Depuis toujours, le système d’exploitation iOS d’Apple met en œuvre des vérifications dynamiques : lorsqu’une application est exécutée pour la première fois, si elle a besoin d’une autorisation particulière, l’utilisateur reçoit un message avec une explication lui permettant de l’accorder ou non. À tout moment par la suite, l’utilisateur peut changer d’avis et avoir une vision globale des autorisations accordées dans un panneau de contrôle facile à trouver.
Pour le système d’exploitation Android de Google, pendant longtemps l’utilisateur n’a eu d’autre choix que d’accepter en bloc toutes les autorisations demandées sans quoi les applications ne pouvaient être installées. Heureusement depuis Android 6, Google a inclus un mécanisme d’autorisation dynamique mais les informations de contrôle demeurent éparpillées, difficiles à trouver et à comprendre. En outre, Google a classé les autorisations en deux catégories : les autorisations normales et les autorisations à risques ; l’utilisateur n’est sollicité que pour les autorisations à risques, les autorisations normales – ne comprenant, selon Google, pas beaucoup de risques pour la vie privée et la sécurité de l’utilisateur – restant automatiquement accordées lors de l’installation. Or, en recherchant dans les pages destinées aux développeurs Android, on se rend compte que ces autorisations ouvrent en fait l’accès à des identifiants techniques stables, c’est-à-dire permettant de tracer les utilisateurs dans la durée et de connaître, par exemple, tous les réseaux wifi auxquels ils se sont connectés. Ces informations sont loin d’être anodines en termes de respect de la vie privée.
Enfin, quelques limites communes aux deux systèmes d’exploitation demeurent, notamment l’absence de contrôle du comportement des applications par l’utilisateur, de la composition précise des autorisations, et parfois encore l’absence de collecte explicite du consentement de l’utilisateur.
Vers un modèle plus vertueux ?
Des progrès restent donc possibles au regard du respect de la vie privée des utilisateurs de smartphones. D’abord, les utilisateurs eux-mêmes devraient se montrer plus responsables, d’une part en étant conscients que la gratuité totale n’existe pas – quelqu’un doit forcément soutenir financièrement le travail – et d’autre part en faisant preuve de plus de vigilance en matière d’autorisations lorsqu’ils installent et paramètrent des applications sur leur smartphone, par exemple en suivant des recommandations simples. Ensuite, les autres acteurs de l’écosystème (éditeur du système d’exploitation, développeur, régie publicitaire) gagneraient à être plus transparents vis-à-vis de leurs pratiques ; ils devraient aussi être en mesure de prouver techniquement leur conformité par rapport à la législation (notion d’accountability). Enfin, des tiers de confiance – typiquement, la CNIL en France – devraient pouvoir contrôler ces acteurs même étrangers.
Il est impératif de chercher des réponses à ces questions car, avec la généralisation du paiement sur smartphone et la multiplication des objets connectés (montres intelligentes, maison intelligente, voitures connectées…), celles-ci s’étendent déjà à d’autres domaines.
Si vous souhaitez en savoir plus, je vous recommande le module 2 « Smartphones et vie privée » du MOOC (cours en ligne gratuit) de l’INRIA intitulé « Protection de la vie privée dans un monde numérique ».