Comment Tinder, Grindr et les plus intimes des applis mobiles partagent vos secrets

Comment Tinder, Grindr et les plus intimes des applis mobiles partagent vos secrets
High-tech

Toute L'info sur

Le RGPD, le plan de l’Europe pour protéger vos données personnelles

RÉVÉLATIONS - Selon une étude norvégienne, des applis star de rencontres, mais aussi centrées sur la santé ou la religion, partageraient les données de leurs utilisateurs avec plus d'une centaine de partenaires commerciaux. Pire que des données personnelles, des secrets qui touchent à l'intime.

Elles s’appellent OKCupid, Tinder, Grindr, Clue ou MyDays, entre autres. Mises bout à bout, elles sont utilisées par des centaines de millions de personnes dans le monde. Elles permettent de faire des rencontres, certaines offres aux femmes de suivre leur cycle menstruel, d’autres rappellent aux musulmans les horaires de prières et la direction de La Mecque.

Toutes ces applications sont aujourd'hui au coeur d’un rapport explosif, une étude détaillée conduite par le Forbruker Radet, l’organisation norvégienne de protection des consommateurs. Avec l’aide d’experts, elle a regardé quelles informations ces applications partageaient, et au bénéfice de qui. Le rapport, intitulé “Out of Control”, met en évidence un trafic de données dont peu d’utilisateurs ont probablement idée, des données envoyées à toute l’industrie du marketing digital et de la publicité ciblée.

Pas de données nominatives, mais assez d’infos pour vous identifier

Parmi les informations transmises par les apps, on ne trouve ni le nom de l’utilisateur, ni son e-mail, ni son numéro de mobile. En revanche, beaucoup partagent la date d’anniversaire, sa localisation précise, l’adresse IP aussi. Surtout, l’étude s’étant concentrée sur la version Android de ces applis, on trouve dans les informations transmises un identifiant unique, celui de votre smartphone Android, qui permet de vous identifier d’une application à une autre. Pour les plateformes qui agrègent ces infos, vous pister à partir de cet identifiant tient du jeu d’enfant. De quoi vous retrouver facilement, à partir d’informations qui ne sont pourtant pas nominatives.

Le problème, c’est que ces applications sont parmi celles qui en savent le plus sur leurs utilisateurs. Ainsi, pour améliorer la compatibilité des profils de rencontres potentielles qu’elle lui présente, OKCupid soumet l’utilisateur à des tests de personnalité. On peut y répondre à des centaines de questions, sur ses valeurs, ses opinions politiques, sa sexualité, son comportement face à l’alcool et aux drogues. Des questions auxquelles ne répondraient probablement pas les utilisateurs s’ils savaient qu’OKCupid -qui appartient à IAC, également propriétaire de Tinder et Match.com- partageait certaines de ces réponses avec Braze, une plateforme de ciblage publicitaire.

Lire aussi

Parfois, le plus grave tient à la précision des données transmises et à la nature des applications qui le font. Ainsi, le fait même que vous soyez utilisateur de Grindr signe votre homosexualité. Vous aviez peut-être choisi de ne pas en parler à vos parents ou à vos collègues de travail. Mais des places de marché du ciblage comme AppNexus et OpenX le savent désormais et peuvent à leur tour partager l’information avec d’autres partenaires et clients. Au total, les auteurs de l’étude ont dénombré 135 sociétés destinataires de ces données de ciblage.

En vidéo

Internet : pourquoi vos données personnelles sont-elles si précieuses ?

Un trafic pas très RGPD-compatible

Problème : si plus loin de nous ces échanges de données peuvent trouver leur justification dans des conditions d’utilisation que personne ne lit vraiment, en Europe, ils tombent sur le coup du RGPD, le règlement européen qui protège l’utilisation de nos données personnelles. Un règlement qui oblige sites et applis à recueillir votre consentement, complet et éclairé, en vous exposant dans le détail l’usage qui pourra être fait de vos données.

Or, après une période d’observation qui court depuis l’entrée en vigueur de ce RGPD au printemps 2018, des régulateurs comme la Cnil française viennent de siffler la fin de la récré. Cette semaine, l’instance a ainsi publié une nouvelle liste de recommandations aux professionnels de la publicité en ligne, dans une interprétation plus stricte de la loi, sur tout ce qui touche justement au consentement et à l’information de l’utilisateur. Le télescopage de calendrier avec la sortie de l'étude norvégienne devrait conforter ces régulateurs dans le choix d’une plus grande sévérité.

Hasard de l’actualité, une autre étude (document PDF, en anglais) parue en ce début d'année montre qu’à peine plus d'un site ou d’une application sur dix recueille le consentement de ses utilisateurs d'une manière compatible avec le RGPD. En ce sens, les révélations norvégiennes sur les turpitudes de quelques applications majeures pourraient n’être que l’arbre qui cache la forêt. Si elles étaient sanctionnées, toutes les sociétés qui opèrent ces applications risquent des amendes allant jusqu’à 4% de leur chiffre d’affaires...

Sur le même sujet

Et aussi

Lire et commenter

Alertes

Recevez les alertes infos pour les sujets qui vous intéressent