Malgré le RGPD, des apps Android partagent leurs données avec Facebook

L'association Privacy International révèle que de nombreuses applications gratuites, disponibles sur Android, transmettent les données de leurs utilisateurs à Facebook, dans le déni total du règlement général pour la protection des données (RGPD).

Deux chercheurs de Privacy International ont scruté les données échangées par une trentaine d'applications gratuites hébergées sur le système d'exploitation mobile de Google, Android, parmi lesquelles TripAdvisor, Kayak ou Skyscanner. Et comme l'indique le journal Les Echos, la route est encore longue avant que chacun daigne respecter ses obligations. L'ONG basée à Londres révèle en effet que Facebook récupère tranquillement les données d'utilisateurs qui ne sont même pas inscrits sur son service de réseau social.

Des données transmises automatiquement à Facebook

Il n'aura pas fallu attendre bien longtemps avant que les petits regrets, l'optimisme infaillible et l'humanisme déguisé de Mark Zuckerberg pour le futur perdent de leur éclat. Privacy International indique que sur les 34 applications Android étudiées, au moins 20 transmettent les données personnelles vers Facebook de façon automatique lorsque l'application est ouverte pour la première fois.

Les données transmises à Facebook sont peu dangereuses, certes. Il s'agit, selon l'organisation non-gouvernementale, du nom de l'application utilisée, de la fréquence d'ouverture de celle-ci, du modèle et du nom du smartphone, ainsi que de l'identifiant Google. Mais une fois l'ensemble des données réunies, elles peuvent « brosser un tableau détaillé et intime des activités, des intérêts, des comportements et des routines des personnes », précisent les chercheurs de l'ONG, qui ont conscience que « certaines peuvent révéler des données de catégories spéciales, notamment des informations sur la santé ou la religion des personnes ».

Des portraits-robots de futurs utilisateurs à Facebook

Les chercheurs de Privacy International prennent un exemple concret d'un utilisateur qui aurait installé sur son mobile les quatre applications suivantes : Indeed, pour la recherche d'emploi ; Period Tracker Clue, un suivi de menstruation ; Qibla, une application de prière musulmane ; et Mon Talking Tom, une appli pour enfants.

Une fois les quatre applications regroupées, Facebook peut se hasarder à dresser le portrait-robot de cette personne, probablement une femme musulmane, mère de famille et sans emploi. La firme américaine, une fois cette personne inscrite sur son réseau social, aurait donc tout le loisir de lui proposer des publicités ou autres publications ciblées.

Une contradiction totale avec le RGPD, et plusieurs responsables potentiels

Lorsque le réseau social enregistre une nouvelle inscription, il possède déjà donc tout un tas de données sur son nouvel abonné. La pratique entre fondamentalement en contradiction avec le RGPD, en vigueur depuis le 25 mai 2018, et qui impose un consentement explicite de l'utilisateur à transmettre ses données. Pour de tels faits, le règlement européen prévoit des amendes pouvant atteindre 4% du chiffre d'affaires mondial, dans le cas d'une entreprise.

Facebook peut être considéré comme l'un des responsables de ce partage de données, puisque c'est via son kit de développement logiciel que les données sont transmises. Et ce dernier a mis près d'un mois après l'entrée en vigueur du RGPD à être paramétré de façon à ce qu'une demande de consentement puisse être proposée à l'utilisateur. Les développeurs des applications, eux, pourraient clairement être dans le viseur des autorités, d'autant plus que Facebook rejette déjà en bloc sa responsabilité et met en cause les développeurs.

• Le Sénat américain pense à un RGPD made in US dès 2019
• Facebook : Mark Zuckerberg, "fier" de son armée de 30 000 modérateurs
• Facebook : les utilisateurs prêts à mettre de côté leur compte pour 1000 dollars en moyenne