ANNE MOREL / « LE MONDE »

 

« Garder le contrôle », « confidentialité intégrée », « protéger vos données »… Depuis plusieurs années, Google et Apple ont érigé le respect de la vie privée et des données personnelles en argument marketing central. Ce sont pourtant bien les applications téléchargées directement depuis le Google Play Store et l’App Store, les magasins d’applications de ces deux multinationales, qui nourrissent les dérives du marché tentaculaire de la donnée publicitaire mobile, sur lequel ont enquêté pendant plusieurs mois Le Monde et huit médias partenaires.

 Dans leur communication auprès de leurs utilisateurs, Apple comme Google mettent en avant la protection des données personnelles.

 

Nos recherches se sont focalisées sur un vaste fichier, obtenu par nos partenaires de netzpolitik.org, qui agglomère des informations (notamment des coordonnées géolocalisées) sur plus de 47 millions d’utilisateurs de téléphones mobiles. Ces éléments, commercialisés par le courtier en données américain Datastream Group, ont été récoltés par l’entremise d’une myriade d’applications mobiles : Le Bon Coin, Candy Crush, Vinted, Grindr… Les différentes personnes que Le Monde et ses partenaires ont pu identifier dans ce fichier ont, d’une même voix, exprimé leur surprise lorsque nous les avons contactées. Aucune d’entre elles ne soupçonnait que leurs applications préférées pouvaient se transformer en mouchard.

Que les données aient été obtenues de manière licite ou non, ce décalage est frappant. Il s’explique en partie par l’information souvent confuse, complexe ou mensongère livrée aux mobinautes lorsqu’ils ouvrent une nouvelle application après l’avoir téléchargée, au moment de recueillir leur consentement en vue d’utiliser leurs données à des fins commerciales. Mais il plonge aussi ses racines dans ce qui se passe avant, lorsque les utilisateurs de smartphones parcourent le catalogue de l’App Store et du Play Store : c’est là que les applications sont tenues de renseigner des fiches d’informations, censées guider les internautes dans leur choix.

Des notices d’informations peu fiables, en particulier chez Google

Nos recherches montrent à quel point ces notices renseignées par les applications peuvent être peu fiables. Prenons par exemple Flightradar24, qui permet de suivre l’itinéraire d’avions en direct. Sur le store, l’application déclare ne pas collecter ni revendre de données personnelles. Pourtant, le fichier de Datastream comporte des coordonnées GPS reliées à 34 572 identifiants publicitaires, déclarées comme issues de Flightradar24.

« Aucune donnée partagée avec des tiers », déclare Flightradar24 sur le Play Store de Google. Des données issues de l’application atterrissent pourtant dans le fichier du data broker Datastream. CAPTURE D’ÉCRAN / LE MONDE

 

Des millions d’applications prétendent, de la même manière, ne pas toucher aux données de leurs utilisateurs, alors qu’elles apparaissent dans le fichier du data broker américain. Bon nombre d’entre elles sont des jeux mobiles gratuits (Paralayang Slider, Snipers Go‪ !‬, Jigsawscapes-Puzzle casse-tête, Solitaire…) ou des applications utilitaires (un lecteur de documents, un outil pour surveiller l’état de la batterie de son téléphone, un autre pour suivre sa pression artérielle…).

Pour cerner l’ampleur du problème, nous avons analysé l’ensemble des informations déclarées par les applications qui apparaissent dans le fichier de Datastream : 33 % de celles qui sont référencées dans le Play Store (21 759 au total) y déclarent ne collecter aucune donnée, quelle que ce soit la finalité. Le problème semble moins prégnant dans l’App Store : sur les 11 128 applications que nous avons analysées, seules 0,3 % d’entre elles déclarent ne collecter aucune donnée personnelle.

 

A ces mensonges flagrants s’ajoutent de nombreuses déclarations incomplètes, qui peuvent tout autant induire en erreur. Le gestionnaire de fichier Amerigo File Manager déclare ainsi dans l’App Store qu’il collecte des informations relativement élémentaires : les identifiants de l’appareil et des données d’utilisation de l’application. Or, des coordonnées GPS précises issues de l’application apparaissent, là encore, dans l’échantillon auquel nous avons eu accès.

Interrogé par Le Monde, un porte-parole d’Apple nous assure que l’entreprise « prend des mesures contre les mauvais acteurs qui ne respectent pas [sa] politique de confidentialité et [ses] règles en matière d’utilisation des données ». Et ajoute : « Nous nous sommes toujours opposés aux pratiques trompeuses pour les utilisateurs et qui collectent subrepticement leurs données. » Selon Apple, 375 000 soumissions d’applications ont été rejetées en 2023 pour des violations de sa politique de confidentialité. Flightradar24, Amerigo File Manager et Google n’ont, quant à eux, pas répondu à nos sollicitations.

Si ces défauts d’information participent à la confusion ambiante, Google et Apple ne semblent pas en faute sur le plan légal, explique Benjamin Poilvé, ingénieur au service de l’expertise technologique de la Commission nationale de l’informatique et des libertés : « Nous n’avons aucun levier juridique pour obliger les stores à surveiller ce qui est déclaré, c’est une responsabilité qui relève davantage de l’éthique vis-à-vis de leurs clients. »