Les applications que l’on installe sur nos smartphones sont dotées de « pisteurs », de petits logiciels chargés de collecter des données, telles que nos centres d’intérêt, notre localisation ou encore nos pratiques d’utilisation. Ces données sont revendues à des entreprises qui établissent des profils et génèrent de la publicité ciblée, souvent bien au-delà de notre contrôle ou de notre bon vouloir.

Où on va, ce que l’on mange, quand on est dans les transports en commun, ce que l’on dit, quand on dort, quand on est assis ou allongé… Notre téléphone connaît notre vie dans ses moindres détails. « Il est rempli de plein de petits morceaux de logiciel en charge de collecter des données sur nous ». Ces « bouts de logiciel » dont parle Esther Onfroy, experte en sécurité Android et en ingénierie inverse, ce sont des « pisteurs » ou « trackers » qui sont intégrés aux applications, grâce au SDK (Software Development Kit), une boîte à outils informatique contenant des codes déjà tout faits. Les développeurs n’ont plus qu’à se servir et à choisir le pisteur qui leur convient.

Par exemple, celui pour déceler les « plantages » des applications et corriger les dysfonctionnements. Ou bien « l’analytics » pour mesurer son audience, qui permet de savoir quelles pages web une personne visite, combien de temps elle y reste. Mais aussi celui pour récupérer un maximum d’informations sur un utilisateur : son âge, son niveau d’éducation, ses centres d’intérêt, afin d’établir un profil virtuel. Il y a aussi, bien sûr, le pisteur qui permet de localiser un appareil via le GPS ou le Bluetooth. Mais également celui qui permet de présenter de la publicité ciblée…

Des données revendues à diverses entreprises

La plupart du temps, les données collectées par les applications sont revendues à des entreprises qui vont les exploiter pour afficher de la publicité en accord avec le profil de l’utilisateur. Un profil lui-même constitué sur la base des données récoltées. « On peut voir que Vinted [l’application de vente de vêtements de particuliers à particuliers] communique avec Facebook, Firebase, Amazon, Google », alerte la youtubeuse française Amy Plant, en consultant le « Rapport de confidentialité des applications » dans les paramètres de son iPhone, dans une de ses vidéos. Lorsque l’on utilise une application, les données sont récoltées par plusieurs entreprises, dont celle qui a créé les traceurs présents dans l’application.

Est-ce légal ? En soit oui, à condition qu’il y ait consentement de l’utilisateur. « Dès lors que l’application collecte des données à des fins publicitaires, le consentement libre et éclairé est requis par le Règlement général sur la protection des données (RGPD) », précise maître Ariane Mole, avocate associée au cabinet Bird & Bird et spécialiste en protection des données personnelles.

Lorsque vous téléchargez une application, l’accès à votre localisation, à votre appareil photo ou encore à vos contacts, vous sont souvent demandés. Vous acceptez, ou non, sans réellement savoir ce que cela implique… « Mais pour qu’il y ait un réel consentement, il faudrait, avant d’accepter, qu’on puisse précisément savoir quelles données vont être collectées, dans quel but et à qui elles vont être communiquées. Il faudrait aussi pouvoir revenir sur sa décision, détaille l’avocate. ​Il faudrait une information simple et courte sous la forme d’une bannière qui apparaîtrait et qu’on pourrait dérouler pour avoir plus d’informations. »

Mais peu d’entreprises respectent ce cadre légal. « Dans la plupart des cas, les informations ne sont pas fournies de manière suffisante. » Elles sont souvent enfouies au sein des conditions générales d’utilisations, « imbuvables, inaccessibles », selon Esther Onfroy.

Des données qui échappent à notre contrôle

« Tout ce système des données est très opaque, déplore elle qui se présente aussi comme une « hacktiviste », c’est-à-dire une personne qui détecte les failles dans les logiciels pour mieux défendre les droits des utilisateurs. Parfois, on voit des corrélations frappantes mais on ne sait pas comment c’est possible, comment il a pu être déduit que cette publicité nous intéressait… Dès lors que les données ne sont plus sous notre contrôle, on ne sait pas à qui elles seront revendues ni à quoi elles serviront. »

L’absence de mainmise sur ces données a d’ailleurs été mise en lumière lorsque la Cour suprême des États-Unis a annulé l’arrêt Roe vs Wade, qui, depuis 1973, accordait aux Américaines le droit d’avorter dans tout le pays. Le courtier en données SafeGraph a proposé à la vente des compilations d’informations sur les personnes ayant passé la porte d’une agence du planning familial. Derrière, les acheteurs pouvaient ainsi envoyer des messages, des annonces pour inciter les femmes à renoncer à l’IVG… Dans la même veine, « Grindr, l’application de rencontres pour personnes homosexuelles, envoyait à des sociétés tierces le statut VIH des utilisateurs », ajoute Esther Onfroy, aussi conférencière et cofondatrice de Defensive Lab Agency, Exodus Privacy.

Certaines applications en France utilisent même des outils épinglés par la Commission nationale de l’informatique et des libertés (Cnil). Par exemple Google Analytics, qui transférait des données en dehors de l’Union européenne, aux États-Unis, et qui a été interdit en France depuis février 2022. Mais qui continue pourtant à être utilisé.

La Cnil en France et ses homologues européens souhaitent agir face à « l’opacité des technologies et à l’hétérogénéité des pratiques ». Dans son nouveau plan stratégique 2022-2024, la Cnil dévoile son objectif : « Rendre visibles les flux de données et renforcer la conformité des applications mobiles et de leurs écosystèmes, pour mieux protéger la vie privée des utilisateurs d’ordiphones (smartphones). »

Les deux spécialistes du sujet incitent aussi les utilisateurs à porter plainte auprès de la Cnil en cas de doute sur la légalité de la collecte des données. « Il faut s’attaquer collectivement au problème sinon rien ne changera, il faut faire bouger la réglementation », conclut Esther Onfroy.

Quelques astuces pour protéger vos données personnelles

Il est conseillé de se rendre directement sur le site web au lieu de passer par des applications qui utilisent des traceurs. « Sur le web, il est possible d’installer des extensions pour bloquer les publicités », souligne Esther Onfroy. Par exemple, le bloqueur uBlock Origin ou AdBlock qui ne bloque pas toutefois les publicités jugées « ni intrusives ni dérangeantes ».

L’utilisation de l’ordinateur peut aussi être privilégiée sur le téléphone. L’ordinateur dispose de moins de capteurs. « Votre ordinateur ne sait pas quand vous dormez, vous mangez ou que vous êtes dans les transports en commun, cela ne veut pas dire qu’il y a moins de données collectées sur les ordinateurs, mais ce n’est pas le même type de données », déclare-t-elle.

Autre conseil : faire le ménage dans son téléphone et se débarrasser des applications dont on ne se sert pas. Et pour celles que l’on veut garder, on peut aller vérifier grâce à la plateforme Exodus – pour les applications Android – les pisteurs qu’elles utilisent. La plateforme recense notamment les applications les plus « propres » et à l’inverse celle qui sont bourrées de trackers. « Cela permet de se demander : est-ce que je suis d’accord avec cela ? », insiste l’experte en ingénierie inverse.

Il est aussi possible d’installer des applications dont le code source est ouvert. Le catalogue F-Droid a établi une liste d’applications libres pour Android. L’annuaire Framalibre conseil aussi tout un tas d’outils libres tels que de la bureautique (LibreOffice pour le traitement de texte, ThunderBird pour les mails), un outil d’animation graphique ou encore le navigateur web Firefox. Pour communiquer, Esther Onfroy préconise d’utiliser Signal.

« Il faut aussi bien réfléchir quand on installe une application qui nous demande si on souhaite lui accorder l’autorisation à la géolocalisation ou autre, il faut se demander si cela nous est utile. Je conseille dans tous les cas de désactiver la géolocalisation quand on ne l’utilise pas », ajoute maître Ariane Mole, avocate spécialiste en protection des données personnelles. De même pour le Bluetooth et le wifi. Vous pouvez aussi vous rendre dans les réglages de votre téléphone dans les paramètres de confidentialité et voir quelles applications ont demandé l’accès à quelles données et ajuster en fonction de vos souhaits.

avec ouest france

Le développement Web en toute simplicité ! Les meilleurs cours sont à partir de 12,99 €