Nouveau scandale pour les applications de rencontre. Une agence gouvernementale norvégienne les accuse de ne pas respecter la loi en partageant les données des utilisateurs avec d’autres entreprises, sans leur consentement.

« Hors de contrôle », voilà comment le conseil norvégien des consommateurs qualifie les pratiques publicitaires modernes. L’agence gouvernementale a demandé à une entreprise de cybersécurité de se pencher sur les pratiques de gestion des données de 10 applications populaires. Leur choix s’est porté sur des applications qui manipulent des données personnelles sensibles : suivi du cycle menstruel (MyDays, Clue), aide à la prière (Muslim : Qibla Finder), rencontre amoureuses (Tinder, Grindr, OkCupid)… Le bilan est accablant : toutes communiquent une partie des données de leurs utilisateurs à des entreprises tierces, à des fins publicitaires.

Dans la majorité des cas, l’utilisateur n’a pas pu émettre un consentement éclairé sur ces pratiques, comme le requiert pourtant la loi européenne. Parmi ces mauvais élèves, l’application de rencontre Grindr se distingue par la précision des données qu’elle communique, et le nombre de destinataires à qui elle les envoie — alors même que ses millions d’utilisateurs appartiennent majoritairement à la communauté LGBTQ+, particulièrement visée par les discriminations. Le conseil norvégien des consommateurs a donc décidé d’attaquer l’entreprise en justice, pour multiples violation du règlement européen sur la protection des données (RGPD). Ce genre d’infraction est passible d’une amende du montant le plus élevé entre 20 millions d’euros et 4 % du chiffre d’affaires annuel de l’entreprise.

Quelles données sont concernées ?

Les données communiquées à des entreprises tierces par les applications sont de deux types, au regard du RGPD :

  • Les données personnelles : date de naissance, âge, adresse IP [un numéro associé à un appareil électronique, ici au smartphone, ndlr], coordonnées GPS (localisation), l’advertising ID [un identifiant attribué par Android qui permet de suivre une personne entre les applications, ndlr].
  • Les données sensibles, un sous-ensemble encore plus protégé dans la loi, car elles peuvent servir à discriminer certains groupes : genre, orientation sexuelle, opinions religieuses.
conseilconcurrence.gif

Détail du type de données et du nombre de destinataires adressés par les applications. // Source : Forbrukerradet

Chacune des 10 applications communique un plus ou moins grand nombre de ces données, de façon plus ou moins précise (cf. image ci-dessus), à des tiers. Les auteurs de l’étude insistent particulièrement sur Grindr, Tinder et OkCupid, qui fournissent les données relatives à l’orientation sexuelle de leurs utilisateurs. Pourtant, Grindr s’était déjà fait épinglé après avoir partagé le statut sérologique de ses utilisateurs.

Qui récupère les données ?

En tout, les auteurs de l’étude ont recensé 135 entreprises destinataires des données, dans une liste non-exhaustive. Elles ont des noms inconnus des non-spécialistes comme AppsFlyer, LeanPlum, AdColony, mais on retrouve aussi des filiales de Google, Facebook ou encore Twitter. La majorité d’entre-elles sont des data-brokers : leur activité est d’agréger et de combiner de grandes quantités de données de consommateurs, issues de différentes sources, publiques comme privées, afin de les revendre.

Un système contraire au RGPD ?

Elles partagent donc vos données à des entreprises de marketing, d’estimations des risques ou de prévention à la fraude. Vos informations se propagent ainsi de serveur en serveur de façon invisible, sans que vous ne puissiez donner ou retirer votre consentement.

« Ces entreprises ont des pratiques de collecte et d’utilisation des données des consommateurs dont la légalité est questionnable. La colonne vertébrale de ce système publicitaire pourrait être de façon systémique contraire au RGPD », écrivent les auteurs de l’étude. D’après un article universitaire, quand un site demande de façon claire à ses visiteurs s’ils acceptent le partage de leurs informations à des acteurs tiers à des fins publicitaires, ils refusent dans 99,9 % des cas.

Que peut-on faire avec mes données ?

Plus un publicitaire — ou un hacker — aura un grand nombre de données sur une même personne, plus il lui sera facile de trouver les données qui lui manquent pour compléter un profil. Par exemple, si l’adresse IP paraît être une donnée à faible valeur, elle permet en fait de créer un profil traçable une fois recoupée à d’autres.

« L’adresse IP n’est pas un indicateur très fiable. Mais elle permet, par exemple, de savoir que c’est la même personne qui est revenue sur le site à deux heures d’intervalle. Et si on combine l’adresse IP avec l’âge et le genre de la personne, on dispose d’une empreinte quasi unique. On peut ainsi traquer son comportement, sans avoir son nom ou un identifiant comme l’adresse email », prévient Gaëtan Le Guelvouit, responsable du laboratoire confiance & sécurité chez b<>com, interrogé par Cyberguerre de Numerama.

Cette empreinte permet par exemple aux annonceurs de personnaliser les publicités qu’ils vous afficheront en fonction de votre genre, de votre âge et de votre comportement, c’est-à-dire des autres pages web que vous auriez pu visiter. Cette pratique a déjà abouti à de nombreux débordements. Par exemple, Facebook avait permis aux annonceurs de cibler des conspirationnistes antisémites qui pensaient que des Juifs préparaient un « génocide blanc ».  Un an plutôt, l’entreprise californienne leur permettait d’exclure certaines ethnies de leur ciblage publicitaire.

Les données encore plus exposées aux risques

D’autres données permettent à elles seules de déduire plusieurs informations. « Dans ces révélations, c’est l’accès aux données GPS qui me dérange le plus. Il suffit de trouver quelques récurrences dans les déplacements, et on peut facilement identifier le lieu de travail et le domicile de la personne. Ensuite, il suffit de faire le lien avec les pages blanches pour trouver son nom. Si on dispose de l’âge ou de la date de naissance, on peut même confirmer ce qu’on a trouvé », développe le chercheur.

En terme de sécurité, il s’agit d’un vrai désastre. Chaque fois que vos données sont partagées à une nouvelle entreprise, vous êtes exposés à un nouveau risque de fuite ou d’ attaque. Or, si des acteurs malveillants mettent la main sur des données d’une telle valeur, ils pourront causer beaucoup de dommages. Par exemple, un hacker pourrait faire du chantage auprès de personnes homosexuelles n’ayant pas fait leur coming-out. Pire, il pourrait menacer leur vie. Usurpation d’identité, espionnage,  les menaces sont nombreuses.

Que puis-je faire pour protéger mes données ?

La meilleure solution est évidemment d’effacer toutes les données que vous pouvez et de quitter l’application. Mais si vous souhaitez rester sur ces applications de rencontre, les possibilités sont limitées. « Il existe des applications qui permettent de faire des fausses données GPS, on peut mentir sur son âge ou son genre…. mais on perd alors l’intérêt de l’application », rappelle Gaëtan Le Guelvouit. A minima, vous pouvez utiliser un VPN pour masquer votre adresse IP, ce sera toujours une donnée pertinente de moins.

« Le principal problème, c’est que ces applications sont hypocrites. Pour les spécialistes de la cybersécurité, il est évident qu’elles vont revendre les données, car leur valeur est importante. Mais puisque les utilisateurs sont confrontés en permanence à ce genre de scandale, ils s’y habituent et ne considèrent pas les risques… », regrette le spécialiste.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !