OPINION. Aujourd'hui, on fait confiance au Nutri-Score, indication entre A et E de la qualité nutritionnelle d'un aliment, car, dans les années 90, la FDA (US Food and Drug Administration) l'a normalisé et rendu obligatoire après des années et un arrêt de la Cour Suprême. Imaginerait-on un tel label pour les app mobile et leur usage des données personnelles ? Par Charles Cuvelliez, Ecole Polytechnique de Bruxelles, Université de Bruxelles, et Jean-Jacques Quisquater, Ecole Polytechnique de Louvain,...
Le Google Play Store propose au téléchargement une Data Safety Form qui explique comment l'app mobile utilise, partage et collecte vos données.
La respectée fondation Mozilla a examiné pour les 40 apps les plus téléchargées si cette Data Safety Form est digne de confiance. Elle trouve beaucoup à redire.
Le formulaire n'est pas bien conçu. La définition de collection de données ou de partage est très restrictive, ce qui amènera le développeur qui doit la remplir à donner une image trompeuse de son app.
Orientation sexuelle ou politique de l'utilisateur
Les instructions pour les développeurs, pas claires pour Mozilla, surprennent : Google énumère tous les types de données sur lesquels il faut une déclaration : orientation sexuelle ou politique de l'utilisateur (étrange). L'historique de visite du web, les photos ou les vidéos, le calendrier sont d'autres données visées. Surtout, Google ne procède à aucune vérification ensuite.
Le développeur doit communiquer sur les pratiques de sécurité de l'app (p.ex. chiffrement des données), si l'app a besoin de ces données pour fonctionner ou si les utilisateurs ont le choix de les partager ou de le refuser. La sécurité de l'app est-elle vérifiée par un tiers? L'app permet-elle la destruction des données quand l'utilisateur désinstalle l'app ?
Résultats sur 40 apps
La fondation Mozilla a comparé, pour les 40 apps les plus téléchargées, la politique de respect de la vie privée de l'app et ce que le Data Safety Form rapportait dans le Play Store : s'il y a un fossé, c'est que la société ne prend pas au sérieux le respect de la vie privée et que les développeurs sont laissés à eux-mêmes.
Les apps sont classées en trois catégories : mauvais lorsqu'il y a trop de différences entre la politique sur la vie privée et le Data Safety Form, médiocre si ces différences ne sont pas totalement divergentes sur les types de données collectées, partagées et dans quel but. Enfin, bon, traduit un alignement.
Newsletter
Ma Tribune
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
Sur ces 40 apps examinées 20 sont payantes, 20 sont gratuites. Payer une app ne donnera pas de meilleurs résultats. 10 apps sont classées par Mozilla dans la catégorie mauvais dont Minecraft. La fondation Mozilla lui reproche de renvoyer l'utilisateur vers le site de Microsoft pour la politique d'utilisation des données personnelles. C'est un peu léger et on peut imaginer qu'entre Word et Minecraft, les pratiques sont différentes.
Le top 20 des applications gratuites performe mieux puisqu'il n'y a que 6 applications dans la catégorie mauvais. On trouve malheureusement de beaux noms dans la catégorie médiocre, comme Gmail, Youtube, Google Maps, Whatsapp et TikTok.
Le silence de TikTok
TikTok n'est pas le plus mal noté mais Mozilla lui reproche son silence sur ses pratiques de partage des données (c'est bien ce qu'on lui reproche). D'après le Data Safety Form, TikTok ne partage pas ses données avec des tiers. Mais ce n'est pas ce que dit sa politique de respect de la vie privée qui donne la liste des tiers en question. TikTok se réserve aussi le droit de partager le contenu créé par les utilisateurs sur d'autres plateformes. TikTok peut aussi partager les données personnelles de ses utilisateurs sans leur consentement sur base de ses intérêts légitimes.
Recommandations
L'étude de Mozilla ne porte que sur Google Play mais Apple procède aussi sur base d'une déclaration unilatérale qui n'est pas vérifiée.
Mozilla recommande de normaliser, rendre plus clair et obligatoire la déclaration sur l'usage des données au point d'en faire une initiative de l'industrie elle-même ou d'un régulateur. Les plateformes comme Google Play devraient sévir quand il y a des différences entre le Data Safety Form et la politique de respect de la vie privée de l'app mobile. Les apps pourraient avoir leur propre politique qui diffèrent du site web où le même service est offert vu l'usage qui diffère. Google devrait clairement indiquer qu'elle ne vérifie rien ex ante. Google devrait de temps en temps faire des contrôles des dires des développeurs, éjecter les app qui posent problèmes (ou celles qui n'ont rien déclaré, car il y en a dans Play Store) et publier des rapports pour faire peur aux développeurs négligents.
Alors on pourrait imaginer un Nutri-Score des données personnelles respecté et respectable.
