Download_on_the_App_Store_Badge_FR_RGB_blk_100517

Apple affiche les données collectées par vos applis. Voici celles auxquelles il faut faire attention

  • Recevoir tous les articles sur ce sujet.

    Vous suivez désormais les articles en lien avec ce sujet.

    Ce thème a bien été retiré de votre compte

Apple affiche les données collectées par vos applis. Voici celles auxquelles il faut faire attention
Dans l'App Store, vous pouvez désormais voir les données que collectent telles et telles applications. Sur la photo, il s'agit des données collectée par Instagram. © Albane Guichard/Business Insider France

Depuis début 2021, l'App Store impose aux développeurs d'indiquer quelles données collectent leurs applications auprès des utilisateurs. Qu'il s'agisse d'une démarche de transparence désintéressée ou d'une technique d'Apple pour écraser la concurrence, le résultat pour les propriétaires d'iPhone et d'iPad se révèle bénéfique. À une époque où les données personnelles valent de l'or, il est essentiel d'avoir conscience des data collectées par les applications.

Bien sûr, cela n'arrange pas les développeurs, qui se passeraient bien d'afficher toutes les informations qu'ils enregistrent sur leurs utilisateurs. C'est pour cette raison que Google, par exemple, tarde à effectuer les mises à jour de ses applications depuis la nouvelle réforme d'Apple. Mi-février, le géant de la tech a fini par mettre à jour YouTube sur iOS, puis Gmail le 24 février, et d'autres applications de la suite Google début mars. À ce jour, les informations de confidentialité de Google Pay, Maps, Chrome, Photos et Assistant manquent encore à l'appel dans l'App Store.

À lire aussi — Facebook déclare la guerre à Apple sur les données personnelles

Pour aider les utilisateurs à mieux comprendre les étiquettes de confidentialité des applications, Apple a publié des définitions et des exemples de données collectées, sorte de dictionnaire simplifié de la data. Mais entre les "données utilisées pour vous suivre" et les "données établissant un lien avec vous" ou les "coordonnées" et les "identifiants", il peut être difficile de s'y retrouver et de comprendre concrètement à quoi servent toutes ces informations.

Business Insider France a demandé à un expert de nous aider à y voir plus clair. Pour Oscar Lourdin, consultant en protection des données personnelles du cabinet de conseil DPO Consulting, "ce qui est plutôt positif avec la nouvelle politique d'Apple, c’est que cela s’inscrit dans une démarche de vulgarisation de l’explication très technique de ce que c’est que la donnée, qu’elle soit à caractère personnel ou non, et des multiples utilisations que peuvent en faire les différents acteurs."

"Les utilisateurs vont pouvoir se rendre compte que les applications collectent des catégories de données personnelles parfois insoupçonnées !", ajoute Oscar Lourdin. Nous avons passé en revue ces grandes catégories de données que peuvent collecter vos applications, et ce qu'elles en font.

Les données sensibles

Les données biométriques, comme celles enregistrées pour le Face ID sur iPhone, sont considérées comme sensibles. Apple

Les données sensibles sont "celles qui ont le cadre le plus protecteur parce que, par principe, leur utilisation est prohibée", explique Oscar Lourdin. Comme leur nom l'indique, il s'agit de données à caractère personnel révélant des informations jugées "sensibles", car leur traitement peut entraîner un risque important pour l'utilisateur.

Dans son lexique, Apple donne comme exemple d'informations sensibles "les données raciales ou ethniques, l’orientation sexuelle, une grossesse ou la naissance d’un enfant, un handicap, les croyances religieuses ou philosophiques, l’adhésion à un syndicat, les opinions politiques, des informations génétiques ou des données biométriques". La Commission nationale de l'informatique et des libertés (CNIL) donne presque mot pour mot la même définition. Les données de santé et les informations relatives au casier judiciaire sont également considérées comme des données sensibles.

L'article 9 du Règlement général sur la protection des données (RGPD) interdit aux applications de traiter ces données, sauf exception, rappelle Oscar Lourdin. "C’est souvent grâce à l'exception du consentement qu’elles arrivent à s’en servir. Les applications de rencontre, par exemple, sont susceptibles de collecter des données sur l’orientation sexuelle si l’utilisateur y consent à l’inscription."

Si les applications précisent rarement d'elles-mêmes le caractère sensible des données qu'elles souhaitent collecter, les utilisateurs doivent se montrer prudents avant d'accepter de les fournir.

Les données hautement personnelles

CardMapr/Unsplash

Autre catégorie avec laquelle il faut se montrer particulièrement vigilant : les données dites hautement personnelles. "Le RGPD énumère des données considérées comme juridiquement sensibles. Mais dans la pratique, on sait qu’il y a d’autres données qui ne figurent pas dans cette liste et qui sont sensibles au sens premier du terme. Ce sont des données qu’on dit hautement personnelles, elles sont identifiées par les autorités de contrôle telles que la CNIL dans leurs divers travaux", explique Oscar Lourdin.

Les informations de paiement, par exemple "le mode de paiement, le numéro de carte de paiement ou le numéro de compte bancaire" comme le liste Apple, sont des données hautement personnelles. Avec le développement du paiement mobile sans contact, elles sont de plus en plus nombreuses dans nos smartphones et nos applications.

Les données de localisation appartiennent également à cette catégorie. Apple fait la distinction entre l'emplacement précis — décrit comme les "informations indiquant votre position avec une résolution identique ou supérieure à celle d’une latitude et d’une longitude exprimées avec trois décimales ou plus" —, et l'emplacement approximatif, dont la précision est moindre.

En plus des données de localisation et des données financières, toutes les données relatives à des communications électroniques sont considérées comme hautement personnelles par les autorités européennes. Il peut s'agir d'appels, d'emails, de SMS et de messages vocaux, tous listés dans la catégorie "Contenu utilisateur" d'Apple.

"L’enregistrement audio en lui-même est à mon sens une donnée hautement personnelle, confirme Oscar Lourdin. Sauf si dans cet enregistrement audio vous révélez des informations sur votre religion ou orientation sexuelle et dans ce cas là, cela devient une donnée sensible."

Les données personnelles

Les coordonnées comme le nom, prénom et l'adresse mail font parties des données à caractère personnel.  LinkedIn/Unsplash

Les données à caractère personnel, plus généralement appelées données personnelles, regroupent toutes les données permettant d'identifier quelqu'un. Les données sensibles et hautement personnelles évoquées ci-dessus en font partie, mais il en existe une multitude d'autres.

"La définition de données à caractère personnel évolue en fonction de ce qui est techniquement permis, parce qu’avec de moins en moins de données, on va être de plus en plus capable d’identifier des gens de façon de plus en plus certaine, affirme Oscar Lourdin. Le cadre de données identifiantes est extrêmement large."

Parmi les données personnelles bien connues, on peut citer ce qu'Apple nomme "coordonnées" : le nom, prénom, l'adresse mail et l'adresse physique, le numéro de téléphone... Et même si leur caractère personnel est moins évident que pour les coordonnées, certaines informations liées à l'usage d'Internet sont également des données personnelles : c'est le cas de l'adresse IP, des données d'utilisation d'une application ou encore de votre historique de navigation.

"L’historique d’achats sur un site marchand n’est ni une donnée sensible, ni une donnée hautement personnelle car il y a peu de chances qu’il révèle une information hautement personnelle sur vous (bien que ça ne soit pas impossible). À l’inverse, votre historique d’achats sur un site pornographique l’est davantage, car il peut révéler votre orientation sexuelle et/ou atteindre à votre réputation", précise Oscar Lourdin.

Il arrive souvent qu'une donnée considérée comme personnelle ne permette pas, seule, d'identifier précisément quelqu'un — c'est le cas d'une date de naissance par exemple. C'est lorsqu'elles sont croisées avec d'autres données que le caractère personnel et identifiant de ces informations se révèle. Le croisement de données est employé à grande échelle par les entreprises et les annonceurs pour établir des profils publicitaires, et la moindre donnée, le moindre "like" sur une photo, peut apporter sa pierre à l'édifice.

"La définition de donnée personnelle est très fonctionnelle : dès qu’une donnée ou un croisement de données permet d’identifier une personne physique avec certitude, la définition est satisfaite et le RGPD s’applique. Selon l’utilisation prévue, toutes les catégories de données peuvent être concernées", résume l'expert.

Les données non personnelles

Samson Vowles/Unsplash

Il existe également des données à caractère non personnel, qui ne permettent pas d'identifier des personnes physiques. "Elles sont autorisées pour le commerce et sont soumises à un autre règlement que le RGPD", précise Oscar Lourdin.

La Commission européenne distingue deux catégories de données à caractère non personnel : "les données qui au départ ne concernaient pas une personne physique identifiée ou identifiable" et "les données qui étaient initialement des données à caractère personnel mais qui ont ensuite été rendues anonymes".

Dans le lexique établi par Apple, il s'agit par exemple des données de la catégorie "Diagnostic" : les données sur les pannes, les données de performance et les données de diagnostics techniques.

Les informations sur une entreprise — qui ne sont pas rattachées à des personnes physiques —, comme une adresse mail générale ou un numéro de SIRET ou de TVA, sont également considérées comme des données non personnelles et ne sont pas concernées par le RGPD.

Que font les applications de toutes ces données ?

Gilles Lambert/Unsplash

Les développeurs d'applications ont plusieurs raisons de vouloir collecter les données de leurs utilisateurs. Certaines sont purement techniques et servent à améliorer le service proposé. D'autres peuvent également être pleines de bonnes intentions, comme le traitement de données servant à faire avancer la recherche scientifique. Mais la principale raison reste bien sûr financière.

Les données personnelles récupérées par les applications sont dans la majorité des cas soit vendues à des annonceurs à des fins publicitaires, soit utilisées directement par l'entreprise derrière l'application, également à des fins publicitaires.

"Il y a plusieurs catégories de données qui sont utilisées pour réaliser des profils d'utilisateurs. Ces profils sont communiqués aux annonceurs de publicité qui s’en servent pour affiner les publicités qu’ils nous proposent", explique ainsi Oscar Lourdin.

Tout le modèle économique des applications gratuites repose sur la collecte de ces données, et il est impossible d'y échapper à partir du moment où vous avez des applications sur votre smartphone. "Les GAFAM proposent un tel éventail de fonctionnalités aujourd'hui qu’ils ont des motifs plus ou moins légitimes, ou en tout cas juridiquement argumentables, pour collecter une quantité de catégories de données qui est astronomique", développe l'expert.

Par exemple, Facebook avance qu'il collecte le numéro de téléphone de ses utilisateurs pour sécuriser l’accès au compte. "Si jamais vous avez oublié votre mot de passe, effectivement c’est pratique, reconnait Oscar Lourdin. Mais derrière, ça permet de recenser les personnes qui ont ou n’ont pas l’application Facebook et d’aller les cibler, d’essayer d’identifier les raisons pour lesquelles ils ne sont pas sur Facebook."

Si vous voulez savoir plus précisément quelles données récolte telle ou telle application sur votre iPhone ou votre iPad, et ce qu'elle en fait, vous pouvez taper le nom de l'appli en question dans l'App Store et descendre jusqu'à tomber sur "confidentialité de l'app". Attention, la longueur de la liste pourrait vous surprendre.

À lire aussi — Facebook demande à ses utilisateurs d'autoriser le traçage publicitaire pour contrer Apple

Découvrir plus d'articles sur :