DUI Union européenne

Soutenu par l'Union européenne

Nos données privées au coeur de nos mobile : la CNIl et Inria enquêtent

La Commission nationale de l'informatique et des libertés (CNIL) publie aujourd'hui son premier rapport sur le projet Mobilitics concernant le stockage des données personnelles sur mobile.

Récemment, l'étude Norton by Symantec analysait le lien entre l'importance du téléphone mobile pour les français et leur méconnaissance des systèmes de sécurité.Le projet Mobilitics apporte des précisions.

« les utilisateurs savent très peu de choses sur ce qui se passe à l'intérieur de ces " boites noires " qui contiennent de nombreuses informations personnelles et sont des ordinateurs très performants. »

Depuis un an, la CNIL et Inria analysent les données enregistrées, stockées et diffusées par les smartphones. Le projet expérimental nommé Mobilitics présente les résultats de cette étude.


Un projet réalisée in vivo.

6 iPhone ont été utilisés par 6 volontaires pendant 3 mois comme s'il s'agissait de leurs propres téléphones. Pas de laboratoire donc.
À l'aide d'un logiciel développé en interne, la CNIL a été capable de détecter toutes les allées et venues de données personnelles par des applications ou programmes internes du téléphone (accès à localisation, aux photos, au carnet d'adresses, à des identifiants du téléphone, etc.).

 

9 Go de données collectées en 3 mois

La CNIL a ainsi collecté :

  • 9 Go de données 
  • 7 millions d'événements à analyser dans la base de données
  • 189 applications utilisées
  • 41 000 évènements de géolocalisations, soit 76 évènements par jour et par volontaire

 

Chaque volontaire a donc été localisée en moyenne 76 fois par tranche de 24h, à leur insu ou non. D'après les premiers constats (ci-dessous), il semble que la quasi-totalité des applications accède au réseau. Plus étonnant, 46% d'entre elles accèdent à l'UDID de l'appareil (l'identifiant unique d'Apple) et près d'un tiers (31%) accède à la géolocalisation.

 

 

 

La CNIL en tire plusieurs conclusions :

- Des accès réseau nombreux et quasi permanents sans une information claire des utilisateurs.
- 9 applications sur 10 accèdent à internet, ce qui ne se justifie pas toujours (jeux)
- Quelques applications sont à l'origine des accès à la grande majorité des données, avec une intensité qui semble dépasser le seul besoin des fonctions de ces applications
- Certaines applications accèdent à des données sans lien direct avec une action de l'utilisateur ou un service offert par l'application (récupération de l'identifiant unique, du nom de l'appareil, de la localisation).
- La géolocalisation, reine des données sur smartphone

Elle estime donc qu'il "incombe à l'ensemble des acteurs de la chaîne de se mobiliser pour faire respecter les règles applicables en matière de protection des données". Les développeurs doivent ainsi bâtir les applis avec ces considérations en tête, l'organisme se dit même prêt à les aider.
Elle plaide également pour un utilisateur mieux informé et une collecte limitée aux seules données nécessaires, en toute transparence. Reste à savoir ce qui est vraiment nécessaire. La CNIL note qu'une expérience similaire devrait avoir lieu avec Android dans les semaines à venir.

La CNIL et Inria vont poursuivre leurs recherches dans le cadre du projet Mobilitics, notamment sur les autres fournisseurs de systèmes d'exploitation du marché, ce qui permettra de suivre dans le temps les progrès accomplis par l'ensemble des acteurs.

 

 

Plus d'infos ICI