Logo ETI Quitter la lecture facile

En ce moment

Logiciels et applications mobiles : le casse-tête de la conformité avec le RGPD

Posté le par Xavier Lula dans Informatique et Numérique

Le 25 mai prochain, le RGPD (Règlement Général sur la Protection des Données) entre en vigueur. En renforçant la protection de tous les citoyens européens, il oblige les éditeurs de logiciels à revoir leurs copies… Pas simple.

Même s’il existe déjà tout un arsenal juridique protégeant les données personnelles des consommateurs et des internautes, le RGPD devient un peu plus contraignant. Tout repose sur la définition d’une donnée à caractère personnel. Il s’agit de toute information permettant d’identifier une personne : nom, prénom, date de naissance, numéro de téléphone privé, mais aussi adresse IP, biométrie…

Une acception suffisamment large pour apparaître comme un casse-tête pour les éditeurs de logiciels et d’applications pour smartphone. Le texte européen prévoit notamment que toute personne peut récupérer l’ensemble de ses données personnelles auprès de n’importe quelle entreprise qui en possède.

L’ensemble de ces données doit impérativement être dans un format standard pour respecter l’interopérabilité.

Or, tout le monde n’est pas prêt à être en conformité avec le RGPD validé en 2016 ! Selon une étude de SafeDK, plus de la moitié des applications sur Play Store ne seraient pas conformes au RGPD.  Ce cabinet, spécialisé dans l’utilisation des kits de développement logiciel (SDK) dans les applications mobiles, s’est appuyé sur l’analyse approfondie de centaines de milliers d’applications populaires de Google Play.

La transparence de Microsoft

Bilan ? Plus de la moitié (56 %) des applications ont au moins un SDK qui essaye d’accéder à l’emplacement de l’utilisateur. Deux applications sur cinq ont au moins un SDK qui tente d’obtenir la liste des applications installées sur le dispositif de l’utilisateur, tandis que 29,3 % des applications cherchent à obtenir la liste des contacts de l’utilisateur. Or, les informations personnelles ne sont protégées par aucune option permettant à l’utilisateur d’accorder ou non ce recueil.

SafeDK remarque cependant que l’accès aux données privées des utilisateurs tend à diminuer. Cette évolution positive témoignerait de la volonté d’éditeurs de se préparer à cette nouvelle réglementation. Elle s’explique aussi par la pression de Google qui a jouté de nouvelles règles détaillées sur le Play Store fin 2017.

Elles indiquent que les développeurs doivent « faire preuve de transparence quant à la façon dont vous gérez les informations sur l’utilisateur […] y compris en publiant les méthodes de collecte et de partage de ces informations, ainsi que la façon dont vous les utilisez ». Google insiste : ils doivent « limiter l’utilisation de ces données au cadre ». Reste à savoir si ces nouvelles règles s’appliqueront aussi à Google…

De son côté, Apple prône une approche de type « differential privacy » : les données seraient anonymisées lors de leur traitement. Mais il collectera et traitera des données en lien avec photos, email, contacts, calendar, iCloud Drive. La raison ? l’amélioration de ses produits et services en utilisant, de manière confidentielle, les données des comptes iCloud. Bref, pour conserver une vie privée sous iOS, mieux vaut ne pas utiliser iCloud…

Même constat pour Microsoft qui veut mettre en avant son souci de transparence. Le géant entend assurer que les données qu’il recueille sont utilisées pour améliorer ses produits et non pas pour suivre l’activité de ses utilisateurs…

Début février, l’éditeur a intégré une application permettant de constater les données collectées depuis Windows 10 (via le composant « Connected User Experience and Telemetry »). Cette option existe déjà pour les professionnels. La version « Diagnostic Data Viewer » sera destinée à un usage plus grand public.

Selon ZDNet, la plupart des données de diagnostic appartiennent à l’une des cinq catégories suivantes :

  • Les données communes incluent la version du système d’exploitation et un ID terminal unique ;
  • Les données de connectivité et de configuration des périphériques ;
  • Les données Produit et Performance service comprennent les événements de performances et de fiabilité et des informations sur la santé du poste de travail ;
  • Les données d’utilisation du produit et du service, c’est à dire sur Windows et les logiciels ;
  • Les données de configuration avec entre autres des détails sur les applications installées et les mises à jour du terminal.

D’autres options permettent de supprimer l’historique de navigation, l’historique de recherche, les données de localisation enregistrées, les données vocales et l’activité de santé .

Philippe Richard

Pour aller plus loin

Dans les ressources documentaires

Posté le par Xavier Lula


Réagissez à cet article

Commentaire sans connexion

Pour déposer un commentaire en mode invité (sans créer de compte ou sans vous connecter), c’est ici.

Captcha

Connectez-vous

Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.

INSCRIVEZ-VOUS
AUX NEWSLETTERS GRATUITES !