De juin à novembre 2019, des chercheurs norvégiens du Norwegian Consumer Council (NCC) ont mené une étude sur l’activité de 10 applications populaires, afin d’identifier la façon dont les données personnelles sont transmises de ces applications à des tiers commerciaux.
Les applications testées sont :
– My Talking Tom 2 (appli pour enfants)
– Wave Keyboard
– Perfect (appli de maquillage)
– Qibla Finder (appli religieuse)
– Clue et MyDays (appli pour femmes)
– Grindr, Happn, OkCupid et Tinder (applis de rencontre)
Ces 10 applications ont été choisies car elles étaient les plus populaires sur GooglePlay au moment du début de l’étude, et qu’elles étaient les plus susceptibles de contenir des informations personnelles sur des catégories sensibles telles que la santé, la religion, les enfants et les préférences sexuelles.
Par ailleurs, seules les versions Android ont été étudiées, car Android est le plus grand système d’exploitation mobile au monde, et Google, un des principaux acteurs dans les technologies publicitaires.
Qu’a révélé l’étude ?
Le verdict est sans appel : les applications de rencontre Grindr, OkCupid et Tinder enfreignent gravement le RGPD et violent les lois sur la confidentialité en fournissant aux agences de publicité des informations de leurs utilisateurs : préférences sexuelles, données comportementales, localisation… sans informer leurs utilisateurs de l’endroit où ces données sont envoyées et à quelles fins.
Grindr, le plus mauvais élève
En effet, Grindr détient le record des violations de la confidentialité : l’application a omis d’informer clairement ses utilisateurs sur la façon dont elle partage ses données avec des tiers non-prestataires de services, sur la façon dont ces données sont utilisées pour les annonces ciblées et n’a pas fourni les options intégrées qui permettraient de réduire le partage de données.
En analysant les flux de données, les chercheurs se sont rendu compte que la société MoPub, détenue par Twitter, facilitait la transmission de données personnelles à d’autres tiers dans le but de faire de la publicité dirigée vers les utilisateurs de Grindr.
Selon les chercheurs, les partenaires de MoPub peuvent potentiellement distribuer également ces données utilisateurs comme les adresses IP et les identifiants publicitaires à d’autres tiers, et ainsi de suite.
Grindr se défend en arguant que ses utilisateurs doivent lire la politique de confidentialité de MoPub qui elle, recommande de lire les politiques de confidentialité de ses 160 partenaires !
« Il s’agit clairement d’une tâche impossible pour quiconque, illustrant le manque de contrôle des consommateurs lorsque les données sont largement partagées dans l’industrie adtech », a indiqué l’étude.
Et même dans le cas où un consommateur refuserait le suivi des données en le désactivant, les partenaires de MoPub pourraient toujours déduire la position d’un utilisateur en fonction de son adresse IP.
La CCN fait savoir qu’il existe donc une violation généralisée du règlement général européen sur la protection des données, d’autant plus que le jargon utilisé est incompréhensible pour la plupart des utilisateurs. A propos du consentement, la loi exige que les utilisateurs reçoivent des informations claires et compréhensibles.
Dans le cas de ce petit échantillon d’applications étudiées, l’étude conclue qu’aucune ne rempli les conditions légales pour recueillir un consentement valide.
Le groupe norvégien a depuis déposé des plaintes en violation du RGPD, demandant aux régulateurs nationaux de mener des enquêtes sur Grindr et d’autres sociétés technologiques.
Si elles sont déclarées coupables, elles risquent des amendes pouvant aller jusqu’à 4% de leurs revenus mondiaux.
r