Un smartphone peut-il vraiment préserver les données de son propriétaire ? Opérateurs télécoms et propriétaires de systèmes d’exploitation ne se privent pas pour s’approprier les données de leurs usagers. Un troc toléré en échange des services fournis, auquel il est difficile d’échapper.
Rares sont les alternatives capables de pourvoir une offre compétitive. « Il faut considérer que toutes les informations disponibles sur un téléphone peuvent être récupérées par l’opérateur, le constructeur, le système d’exploitation, ou les trois », avertit la Quadrature du Net.
Même au repos, iOS et Android envoient vos données à Apple et Google
Difficile de leur échapper. Android de Google et iOS d’Apple dominent le marché français des systèmes d’exploitation mobile. Le premier se taille la part du lion, avec 76.6 % d’occupation, quand le second en représente « seulement » 23,4 %. Mais l’hégémonie n’est pas leur seule caractéristique commune. Même quand les téléphones sont au repos, les deux systèmes d’exploitation relaient sans relâche des informations à leur maison-mère respective.
Chercheur au Trinity College de Dublin, Douglas Leith s’est plongé dans les rouages d’Android et d’iOS. Dans son étude publiée en mars 2021 — à lire ici en anglais — il lève le voile sur les pratiques des deux mastodontes numériques. « Même lorsqu’ils sont configurés de manière minimale et que le téléphone est inactif, iOS et Google Android partagent des données avec Apple / Google en moyenne toutes les 4,5 minutes », y détaille-t-il. Parmi les données partagées, se trouvent notamment l’IMEI du téléphone (identifiant unique) et son numéro de série, le numéro de série de la carte SIM et son IMSI (identifiant unique) et le numéro de téléphone.
D’autres éléments sont transmis. « iOS et Google Android transmettent tous deux la géolocalisation, bien que l’utilisateur ait explicitement choisi de ne pas l’utiliser », relève Douglas Leith. Les deux systèmes d’exploitation enverraient également les informations des cartes SIM insérées dans les smartphones. Particularité des appareils Apple, note le chercheur : « iOS envoie les adresses MAC des appareils à proximité, par exemple d’autres téléphones, vers Apple avec leur position GPS. » Selon les calculs de Douglas Leith, Android recueillerait collectivement près de 1 Mo de données toutes les douze heures par appareil, contre 52 Ko pour iOS. Quant aux utilisateurs, ces derniers « n’ont pas la possibilité de s’y soustraire, et il existe actuellement peu ou pas d’options réalistes pour empêcher ce partage de données ».
Pour Douglas Leith, cette collecte soulève la question du profilage des utilisateurs. Les données des appareils peuvent être facilement liées à d’autres sources d’information, telles que la connexion d’un usager à son compte Google, et donc à ses informations personnelles : nom, email, carte de crédit… Et potentiellement aux autres appareils de l’usager, et à son historique Chrome ou Safari. Ces informations permettraient aux deux GAFAM de dresser le portrait chinois d’un particulier, et d’affiner leurs propositions publicitaires qui lui sont envoyées. « Il ne s’agit pas d’une préoccupation hypothétique, car Apple et Google exploitent tous deux des services de paiement, fournissent des navigateurs Web populaires et bénéficient commercialement de la publicité », souligne l’universitaire.
Google a répondu à l’universitaire en réfutant ses conclusions. « Selon nos recherches, ces résultats sont erronés d’un ordre de grandeur et nous avons fait part de nos préoccupations méthodologiques au chercheur avant la publication », a indiqué un porte-parole à Arstechnica. Le géant de la tech implique que le chercheur aurait sous-évalué l’intégralité des données collectées par iOS, notamment le trafic UDP / QUIC (des protocoles de transfert de données). Il ajoute : « Ce rapport détaille des communications qui permettent de s’assurer que les logiciels iOS ou Android sont à jour, que les services fonctionnent comme prévu, et que le téléphone est sécurisé et fonctionne efficacement. » L’entreprise de Mountain View a néanmoins concédé que la majorité des recherches de Douglas Leith étaient exactes.
Les opérateurs ont des informations précieuses sur leurs abonnés
Les opérateurs téléphoniques sont, eux aussi, assis sur une mine d’informations. Lors des souscriptions, ces entreprises collectent souvent de nombreuses données, par exemple :
- Données d’identification : nom, prénom, identifiant, SIREN
- Caractéristiques personnelles : date de naissance, nationalité, etc.
- Données de contact : adresse postale, email, numéro de téléphone, etc.
- Vie personnelle : centres d’intérêt, statut marital, etc.
- Données économiques et financières : moyens de paiement, historique des paiements, etc.
- Données de connexion, d’usage des services et d’interaction : logs de connexion, et d’usage, compte rendu d’intervention, etc.
- Produits et services détenus ou utilisés
- Profils et scores permettant la segmentation client
- Données de contenu : Fichiers stockés sur le cloud, boite email
- Données de localisation
Autant d’informations capables de modéliser les comportements des abonnés. Ces jeux de données font d’ailleurs l’objet d’un juteux marché d’entreprises tierces spécialisées, qui les achètent à certains opérateurs mobiles pour les revendre à des fins de démarchage téléphonique.
Lors des élections régionales, de nombreux électeurs ont ainsi eu la surprise de se voir adresser un SMS du Rassemblement national les incitant à voter pour leur candidat local.
Comme le raconte Rue89Strasbourg, ces messages ont été envoyés par la société Selfcontact, spécialisée dans « l’envoi de messages vocaux et de SMS électoraux ». Son gérant indique au pureplayer Alsacien : « Les destinataires ont coché une case dans les contrats qu’ils ont signé avec leurs opérateurs téléphoniques. Notre société est partenaire de ces différents opérateurs et c’est comme cela que nous avons accès à leurs numéros. »
Chez l’opérateur Orange, on indique ne pas commercialiser les informations des abonnés. « On ne vend pas nos bases de données », précise avec fermeté, la cellule RGPD du groupe. Des services comme Flux Vision d’Orange Business Service commercialisent toutefois certains éléments les concernant. Orienté à destination des acteurs du tourisme, des transports et du commerce, Flux Vision collecte ainsi, via les antennes-relais d’Orange, les métadonnées mobiles des abonnés : âge, genre, catégorie socioprofessionnelle, géolocalisation, leur origine géographique, les appels émis et reçus, SMS, la consommation de données mobiles.« On va pouvoir connaître les lieux de nuitée des personnes, toujours de façon anonyme, également leur lieu d’activité en journée, et pouvoir déterminer des flux pendulaire entre lieu de résidence et lieu de travail, et qualifier ces mobilités », expliquait Jean-Luc Chazarain, responsable priorité des ventes chez Orange Business Services lors d’une keynote organisé par Acteurs Publics.
Orange indique que ces données sont anonymisées, en supprimant l’identifiant unique universel du téléphone, conformément aux exigences de la CNIL et le RGPD. « Quand ces acteurs parlent d’anonymat, il s’agit en réalité de pseudonymat, qui n’est pas une garantie de la protection de la vie privée, estime toutefois la Quadrature du Net. Les données de géolocalisation peuvent permettre de retrouver la personne, l’adresse où elle habite, et par corrélation ses proches, quand plusieurs numéros de téléphone bornent au même endroit.»
Ce scénario est-il crédible ? Des chercheurs de l’Université catholique de Louvain, en Belgique, et de l’Imperial College de Londres ont développé, en 2019, un algorithme capable de ré-identifier des individus à partir de données anonymisées. Leur expérience démontre qu’à partir de 15 données démographiques, et plus particulièrement l’âge, le genre et le domicile, « 99,98 % des Américains seraient correctement ré-identifiés dans n’importe quel jeu de données ».
Pour les chercheurs, ces résultats suggèrent que « même des jeux de données anonymisés fortement échantillonnés sont peu susceptibles de satisfaire aux normes modernes d’anonymisation énoncées par le RGPD, et remettent sérieusement en question l’adéquation technique et juridique du modèle de libération et d’oubli de l’anonymat ». Les risques pour la vie privée dépendent alors des situations. Une analyse des localisations et des trajectoires des taxis de New York a souligné la possibilité d’évaluer les revenus de 91 % des chauffeurs qui sillonnent la grosse pomme.
L’information dont disposent les abonnés sur leurs données personnelles est-elle suffisante pour faire un choix éclairé ? Contactée pour savoir si cet enjeu fait l’objet d’une réflexion chez les principaux opérateurs français, la Fédération Française des Télécoms indique : « Les opérateurs se conforment à la réglementation (…) Il revient à la CNIL d’assurer le contrôle de l’existence du consentement préalable, spécifique et éclairé, de la prospection directe par courriel ou sur les réseaux sociaux donné à l’émetteur du message. À ce stade, nous n’avons jamais eu d’alertes sur le sujet. »
Les fabricants de smartphones récupèrent vos données via les applications natives
Les fabricants de smartphones, aussi, récupèrent les données de leurs usagers, notamment grâce aux applications natives pré-installées sur leurs téléphones. Parmi eux, Xiaomi et Samsung. Ce dernier, leader mondial de la vente de smartphone, compilait depuis des années les données des smartphones Galaxy. Ce n’est que suite à la mise en place d’un équivalent du RGPD, en Californie, que les mobinautes ont pris conscience de la collecte dont ils faisaient l’objet.
Le constructeur sud-coréen a désormais l’obligation d’afficher une option, désactivée par défaut, qui permet aux mobinautes de « ne pas vendre » leurs données liées aux paiements réalisés avec l’application Samsung Pay à son réseau de partenaires. À savoir : les identifiants personnels uniques, les identifiants en ligne, les adresses IP, les données d’activités internet, et les informations commerciales, dont les achats en ligne et les recherches de produits. Autant d’informations jusqu’ici exploitées.
Samsung a précisé avoir « éventuellement » vendu des informations personnelles à des tiers : noms, adresses, numéros de téléphone, numéros de compte bancaire et de carte de crédit, historique d’achat et de navigation sur le web, et données de géolocalisation. Comme le souligne le site spécialisé Le Big Data, le Customization Service de Samsung recueille lui aussi des données des applications présentes sur les smartphones Galaxy, les musiques écoutées, l’historique des sites visités, les requêtes web, et les métadonnées des photographies. Autant d’informations destinées à affiner le ciblage publicitaire de leur propriétaire.
Des acteurs européens veulent offrir un choix éclairé sur le partage de données
Les mobinautes sont-ils voués à se faire siphonner leurs données ? Un collectif d’acteurs européens veut bousculer ce paradigme. À la manœuvre : le Néerlandais Fairphone, les fournisseurs Allemand et Britannique WEtell et The Phone Co-op, et les Français TeleCoop, Commown et /e/. Unies sous la bannière collective FairTEC, ces entreprises étalent leurs compétences, de la fabrication de smartphone à l’élaboration d’un système d’exploitation respectueux des données personnelles, et proposent de souscrire du même geste une offre télécom où n’est facturée que la consommation effective des données.
Grâce à cette combinaison de services, Fairtech souhaite développer un écosystème numérique et télécom qui protège la confidentialité de ses usagers. « Nous voulons offrir un choix éclairé, une façon différente d’envisager sa vie numérique », explique Gaël Duval, ingénieur informatique à l’origine de /e/. Basé sur l’OS d’Android, /e/OS est un système d’exploitation mobile open-source, calibré pour supprimer les relais d’informations vers Google. « Nous y proposons un «store» des application les plus courantes, dont on analyse les trackers, et leur attribuons un privacy score que peuvent juger les usagers. »
Cette protection des données se monnaye au prix du confort des usagers. Les Fairphones n’égalent pas les prouesses techniques des smartphones dans la même gamme de prix. Quant aux applications, « certaines posent encore problème. Il faut avoir un peu plus de tolérance sur les fonctionnements grand public », reconnaît Gaël Duval. Si Fairtech dispose déjà d’une niche d’utilisateurs en recherche de solutions plus transparentes, le fondateur d’/e/ estime qu’il reste encore un an et demi de travail avant de pouvoir proposer une solution capable de séduire le commun des usagers.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.