Apple et Google aiment répéter que la protection des données personnelles est une priorité sur leurs boutiques d’applications. Problème : une enquête menée par Le Monde et ses partenaires montre que de nombreuses applications, disponibles sur l’App Store et Google Play, ne jouent pas franc jeu. Un fichier obtenu par netzpolitik.org révèle que plus de 47 millions d’utilisateurs ont vu leurs données récoltées, parfois revendues, sans qu’ils en soient informés. Et ce, par des applications grand public comme LeBonCoin, Candy Crush, Vinted ou encore Grindr.
Des déclarations fausses (ou très arrangées)
On parle ici de données sensibles, comme par exemple des coordonnées GPS, qui se retrouvent entre les mains de courtiers en données comme Datastream Group. Évidemment, quand on demande aux personnes concernées si elles savaient que leurs applications préférées les pistaient, la réponse est un anime : non. Et vu les messages faussement rassurants affichés sur les pages de téléchargement, ce n’est pas étonnant.
Sur l’App Store et le PlayStore, les développeurs doivent remplir une fiche expliquant quelles données sont collectées et comment elles sont utilisées. En théorie, c’est censé aider les utilisateurs à faire un choix éclairé. En pratique, ces déclarations sont souvent mensongères.
Exemple avec Flightradar24, une application que vous connaissez probablement, qui permet de suivre les avions en direct. Sur sa fiche Play Store, elle assure ne pas collecter ni partager de données personnelles. Pourtant, dans le fichier analysé par Le Monde, on retrouve des milliers de coordonnées GPS issues de cette même application. Et ce n’est pas un cas isolé : d’autres jeux gratuits et applis utilitaires (lecteur de documents, gestionnaire de batterie, etc.) jouent exactement le même jeu. L’enquête révèle que 33 % des applications analysées sur le Play Store prétendent ne collecter aucune donnée… alors qu’elles apparaissent bien dans les fichiers des courtiers en données.
Sur l’App Store, c’est un peu moins flagrant, mais le problème existe aussi. Amerigo File Manager, par exemple, indique ne récolter que des données basiques, alors que des coordonnées GPS précises issues de l’application ont été retrouvées dans l’échantillon étudié.
Apple et Google laissent faire
Interrogée sur ces dérives, Apple affirme prendre des mesures contre les mauvais acteurs et rappelle avoir rejeté 375 000 soumissions d’applications en 2023 pour non-respect de sa politique de confidentialité. Google, de son côté, n’a pas répondu. Mais au fond, ni l’un ni l’autre n’a d’obligation légale de vérifier ce que déclarent les développeurs. Comme l’explique un expert de la CNIL, il s’agit plus d’un problème d’éthique que d’une vraie infraction réglementaire.
Tant qu’aucune régulation ne les y oblige, Apple et Google ne vont hélas pas s’amuser à vérifier scrupuleusement les pratiques des millions d’applications sur leurs stores. Le mieux reste donc de toujours méfier des grandes promesses de confidentialité affichées un peu partout.
