2014
Un ratissage international pour la protection de la vie privée met au jour des préoccupations liées aux applications mobiles
Des énoncés clairs et concis sur la protection de la vie privée suscitent un sentiment de confiance chez le consommateur et sont bons pour les affaires, selon les autorités chargées de la protection de la vie privée ayant participé au ratissage international de cette année, qui portait sur plus de 1 200 applications mobiles.
OTTAWA, le 10 septembre 2014 – À l’heure où la popularité des applications mobiles explose littéralement, nombre d’entre elles cherchent à avoir accès à de grandes quantités de renseignements personnels sans expliquer convenablement les fins auxquelles ces renseignements seront utilisés, les participants au deuxième ratissage annuel pour la protection de la vie privée du Global Privacy Enforcement Network (GPEN) ont constaté.
Les résultats du ratissage donnent un aperçu des types d’autorisations que demandent certaines applications mobiles particulièrement populaires dans le monde et de la mesure dans laquelle les organisations informent leurs clients de leurs pratiques de protection de la vie privée.
Les 1 211 applications examinées comprenaient des applications Apple et Android, gratuites ou payantes, ainsi que des applications des secteurs public et privé, allant de jeux et d’applications de santé et de conditionnement physique à des applications de nouvelles et de services bancaires. En Belgique, l'Autorité s'est concentrée sur 4 secteurs: la santé, les jeux, les applications de bureau et les apps belges.
Les participants ont examiné les types d’autorisations demandées en tentant de déterminer si elles dépassaient les autorisations auxquelles on pourrait s’attendre d’après les fonctions de l’application et, surtout, ils se sont penchés sur la façon dont les applications expliquaient aux clients pourquoi les renseignements personnels étaient demandés et à quelles fins ils seraient utilisés.
Vingt-six autorités chargées de l’application des lois en matière de protection de la vie privée du monde entier ont participé au ratissage, qui a eu lieu du 12 au 18 mai 2014, comparativement à 19 l’année dernière. L’augmentation du nombre de participants montre que les autorités chargées de la protection de la vie privée sont plus déterminées que jamais à unir leurs efforts pour promouvoir la protection des renseignements personnels.
Cette initiative du GPEN a pour objet d’inciter les organisations à se conformer aux lois en matière de protection de la vie privée et à accroître la collaboration entre les autorités chargées de l’application de ces lois. Les préoccupations soulevées lors du ratissage donneront lieu à des mesures de suivi, comme une sensibilisation des organisations et une analyse approfondie des dispositions de protection des renseignements personnels associées aux applications et des mesures d’exécution de la loi.
Points saillants du ratissage de 2014
- Les trois quarts des applications examinées demandaient au moins une autorisation, portant le plus souvent sur l’emplacement, le code d’identification de l’appareil et l’accès à d’autres comptes, à la caméra et aux contacts. La proportion des applications demandant des autorisations et le degré de sensibilité éventuel des renseignements demandés montrent bien que les applications doivent être plus transparentes.
- Dans environ 59 % des cas, les responsables du ratissage ont eu de la difficulté à trouver de l’information sur la protection de la vie privée avant l’installation de l’application. Nombre d’applications fournissaient peu d’information avant le téléchargement sur les fins de la collecte ou de l’utilisation des renseignements ou renfermaient des liens menant à des pages Web où était affichée une politique de confidentialité non adaptée à l’application. Dans d’autres cas, les liens menaient à des pages de médias sociaux qui ne fonctionnaient pas ou qui obligeaient l’utilisateur à ouvrir une session. Il était parfois difficile de déterminer qui était le concepteur ou le responsable du traitement des données.
- Les responsables du ratissage ont exprimé des inquiétudes concernant la nature des autorisations demandées par près du tiers (31 %) des applications examinées. Ils avaient l’impression que les autorisations dépassaient celles auxquelles on pourrait s’attendre d’après les fonctions de l’application, du moins selon ce qu’ils comprenaient de l’application et de la politique de confidentialité connexe. En Belgique, les "sweepers" ont constaté que 20% des applications demandaient une autorisation d'accès aux données de géolocalisation.
- Les énoncés de confidentialité de quelque 43 % des applications n’étaient pas conçus pour être lus sur un petit écran. Les responsables du ratissage se sont plaints de la petite taille des caractères et de la longueur des politiques de confidentialité, qu’il fallait faire défiler ou consulter en cliquant sur plusieurs pages. Les pratiques exemplaires relevées comprennent l’utilisation de fenêtres contextuelles, de renseignements superposés et d’avis juste à temps informant l’utilisateur lorsqu’une collecte ou une utilisation potentielle de renseignements est sur le point de se produire.
- Les applications les plus respectueuses de la confidentialité donnaient des explications brèves et faciles à comprendre sur les renseignements qui seraient recueillis ou utilisés ou non suivant chaque autorisation. Des explications claires concernant la collecte, l’utilisation et la communication des renseignements personnels n’étaient cependant fournies que pour une faible proportion (15 %) des applications. En Belgique, ce chiffre tombe même en-dessous de 1 %. De plus, 60% des apps testées ne fournissent aucune information à ce sujet, ou une information non appropriée
- Signalons que les applications très populaires proposées dans le cybermarché figuraient parmi les mieux cotées, ce qui montre bien que la collecte de renseignements ne nuit pas aux ventes lorsqu’elle est bien expliquée au consommateur.
Suite à l'app sweep, quelles actions seront entreprises par l'Autorité ?
Les autorités ayant participé au sweep pourront entreprendre des actions ultérieures qui varieront en fonction des résultats et des compétences de ces autorités dans chaque pays. En Belgique, l'Autorité contactera le secteur (développeurs et leurs clients responsables du traitement de données). Dans les cas de violations flagrantes de la Loi vie privée, elle adressera une mise en demeure aux acteurs concernés. Si nécessaire, elle transmettra également leur dossier aux autorités compétentes (Federal Computer Crime Unit, parquet et SPF Économie).
Sur le plan international, l'Autorité proposera une approche coordonnée lors de la prochaine conférence mondiale des autorités de protection des données début octobre.
À propos du Global Privacy Enforcement Network (GPEN)
Le Global Privacy Enforcement Network a été créé en 2010 à la suite d’une recommandation de l’Organisation de coopération et de développement économiques. Son objectif est de favoriser une coopération transnationale entre les organismes de réglementation en matière de protection de la vie privée dans un marché de plus en plus mondial où les activités de commerce et de consommation reposent sur la circulation continue des renseignements pardelà les frontières. Ses membres veulent unir leurs efforts pour mieux protéger les renseignements personnels dans ce contexte mondial. Ce réseau informel est constitué de 51 autorités chargées de l’application des lois en matière de protection de la vie privée issues de 39 pays du monde entier.
Vous avez des questions ? Contactez Eva Wiertz, responsable communication.
+32 (0)2 274 48 08 ou +32(0)473 85 15 97