Applications mobiles : la Cnil cherche les bons angles

La Cnil vient d’annoncer un « plan d’action » pour les applications mobiles. Comment l’a-t-elle contextualisé ?

Connaissez-vous Álvaro Feal ? La Cnil, elle, a bien identifié ce doctorant à l’IMDEA (Institut madrilène d’études avancées). Le 28 juin dernier, lors de son Privacy Research Day, elle l’a convié à un panel « Smartphones et applications ». Quelques semaines avant, elle avait décerné un prix à un article dont l’intéressé est coauteur.

L’article en question fut présenté en 2019 dans le cadre du 28^e symposium USENIX. Son intitulé : « 50 Ways to Leak Your Data: An Exploration of Apps ». Son sujet : les OS mobiles, leurs systèmes d’autorisations… et leur contournement par les applications mobiles.

Pour cet article, Álvaro Feal et cinq pairs ont reçu le prix Cnil-Inria 2021. L’autorité en fait mention dans le « plan d’action spécial apps mobiles » qu’elle vient d’annoncer. Elle cite aussi le Privacy Research Day, au cours duquel Álvaro Feal a présenté un autre article : « Don’t Accept Candy from Strangers, an Analysis of Third-Party Mobile SDKs », abordant la question des kits de développement tiers.

La Cnil se penche sur la géolocalisation

Que projette la Cnil avec son plan d’action ? Dans les grandes lignes, l’autorité entend faire pour les applications mobiles ce qu’elle a fait pour les sites web. En l’état, observe-t-elle notamment :

– Les informations sur l’existence de collecte de données et sur les raisons de leur collecte sont souvent peu claires

– Les utilisateurs peuvent avoir du mal à comprendre la nature des autorisations demandées

– Les smartphones embarquent de nombreux capteurs qui donnent accès à des données dont la collecte peut se révéler très intrusive

Lire aussi : Applications mobiles : ce que la CNIL réserve aux développeurs

Trois grands constats… et autant d’étapes sur la feuille de route. Nommément, la veille, l’accompagnement, puis les contrôles et les éventuelles sanctions.

Sur la partie veille, hormis le Privacy Research Day et le prix décerné avec Inria, la Cnil rappelle une étude que son laboratoire d’innovation a engagée en juin dernier, pour 15 mois.

À la base de cette étude, il y a un jeu de données de géolocalisation obtenues sous forme d’« échantillon gratuit », sur une plate-forme, auprès d’un courtier de données. Présentées comme anonymisées, elles sont horodatées – couvrant une période d’environ une semaine en mai 2021 – et associées à des millions d’identifiants publicitaires de smartphones (iOS, Android).

La Cnil va effectuer un travail de réidentification sur les quelque 850 000 identifiants associés à au moins dix points de localisation. Elle traitera, en parallèle, diverses données publiques :

– Agendas ouverts de personnalités publiques
– Données de participation aux séances parlementaires
– Cartes de densité de la France
– Données provenant de l’annuaire universel
– Sites de manifestations sportives publiques

Le contenu des deuxième et troisième étapes du plan dépendront de l’issue de la première. Tout au plus la Cnil laisse-t-elle miroiter des recommandations, des outils pratiques… et un possible plan de contrôle « comme dans le cadre des actions liées aux cookies et autres traceurs ».

Photo d’illustration générée par IA

Lire aussi : Applications mobiles : la Cnil consulte avant d’encadrer