Aujourd’hui [14 septembre 2023], le NOYB a dpos trois plaintes en France contre la Fnac (le plus grand magasin d’lectronique en France), l’application immobilire SeLoger et la filiale d’Under Armour MyFitnessPal. Les applications de ces entreprises accdent illgalement aux donnes personnelles des utilisateurs et les partagent avec des tiers des fins d’analyse sophistique ds l’ouverture de l’application. Les utilisateurs n’ont mme pas le choix de consentir ou d’empcher le partage de leurs donnes. Cette approche est illgale.
Transmission par dfaut. Le plaignant a install les applications populaires MyFitnessPal, Fnac et SeLoger sur son smartphone Android. Une fois ouvertes, les applications ont immdiatement commenc collecter et partager avec des tiers des donnes caractre personnel, notamment l’identifiant publicitaire unique de Google (AdID), le modle et la marque de l’appareil et l’adresse IP locale. Une telle collecte de donnes permet d’tablir le profil des utilisateurs afin de leur montrer des publicits et des campagnes de marketing personnalises et d’augmenter les revenus des entreprises mentionnes.
Absence de consentement. En vertu de la directive « vie prive et communications lectroniques« , le simple accs des donnes ou leur stockage sur le terminal de l’utilisateur n’est autoris que si ce dernier donne son consentement libre, clair, spcifique et sans ambigut. Deux des trois applications mobiles n’affichaient pas de bannire de consentement au lancement de l’application. La troisime application prsentait une bannire qui donnait thoriquement au plaignant le choix de donner ou non son consentement. En ralit, la transmission de leurs donnes personnelles a commenc sans aucune interaction de leur part – et avant mme qu’ils aient eu l’occasion de penser au consentement.
Ala Krinickytė, avocate spcialise dans la protection des donnes chez NOYB : « Chaque application a besoin d’un consentement pour vous suivre. Au lieu de cela, elles utilisent la « collecte de donnes et le suivi par dfaut ». Contrairement au suivi sur les sites web, les applications mobiles n’ont pratiquement pas fait l’objet d’une mise en application jusqu’ prsent.«
Un suivi dtaill. Les informations telles que l’AdID sont uniques et lies l’appareil d’une personne spcifique. Cela permet aux annonceurs et d’autres tiers d’identifier les utilisateurs et de les cibler l’avenir. Certains fournisseurs d’applications suivent mme le comportement des utilisateurs en dehors de leurs applications. Cela leur permet d’enrichir les donnes collectes avec encore plus d’informations sur la vie de l’utilisateur.
Premier rsultat d’une enqute plus large. La manire dont ces applications traitent les donnes de leurs utilisateurs est symptomatique d’un problme plus large dans l’environnement des applications mobiles. Bien que ces applications comptent souvent des millions d’utilisateurs, elles ne prennent pas la peine de se conformer aux lois europennes sur la protection de la vie prive, mais partagent des donnes prives avec des tiers (y compris des courtiers en publicit) afin de montiser les donnes de leurs utilisateurs. Selon une tude mene par Konrad Kollnig et d’autres chercheurs, seules 3,5 % des applications offrent aux utilisateurs la possibilit de refuser leur consentement.
Ala Krinickytė, avocat spcialis dans la protection des donnes chez NOYB : « La collecte et le partage illgaux des donnes personnelles des utilisateurs est un problme trs rpandu dans l’environnement des applications mobiles. Il est essentiel que les autorits de contrle prennent maintenant des mesures appropries pour mettre fin cette pratique.«
Analyse des violations de la vie prive dans les applications mobiles. Afin d’obtenir des preuves des violations susmentionnes, une analyse technique du trafic rseau des applications pour smartphones a t ncessaire. La capture et l’analyse du trafic rseau ont t effectues l’aide de la PiRogue Tool Suite dveloppe par la Defensive Lab Agency.
Suppression des donnes et amende ventuelle. L’organisation NOYB demande la CNIL d’ordonner MyFitnessPal, Fnac et SeLoger de supprimer toutes les donnes ayant fait l’objet d’un traitement illicite. En outre, tous les destinataires des donnes du plaignant doivent tre informs que le plaignant a demand la suppression de tout lien, copie ou rplication de ses donnes personnelles. Compte tenu de la gravit des allgations et du nombre potentiellement lev de personnes concernes, le NOYB suggre galement que l’autorit comptente impose une amende. Ces plaintes ne sont qu’un dbut : le NOYB prvoit de dposer d’autres plaintes contre des socits d’applications mobiles l’avenir afin de mettre un terme au partage illgal des donnes des utilisateurs.