« Hors de controle », voila comment le conseil norvegien des consommateurs qualifie les confortables publicitaires contemporaines. L’agence gouvernementale a interracial dating central application de rencontre reclame a une entreprise de cybersecurite de se pencher sur les pratiques de gestion des donnees de 10 applications populaires. Leur parti pris s’est porte dans des applications qui manipulent des precisions personnelles sensibles : suivi du cycle menstruel (MyDays, Clue), aide a J’ai priere (Muslim : Qibla Finder), retrouve amoureuses (Tinder, Grindr, OkCupid)… Notre bilan est accablant : toutes communiquent une partie des donnees de leurs utilisateurs a des entreprises tierces, a des fins publicitaires.
Dans la majorite des cas, l’utilisateur n’a gui?re pu emettre un consentement eclaire sur ces pratiques, comme le requiert pourtant la loi europeenne. Parmi ces mauvais eleves, l’application de rencontre Grindr se distingue par la precision des donnees qu’elle communique, et le nombre de destinataires a qui elle les envoie — alors meme que ses millions d’utilisateurs appartiennent majoritairement a J’ai communaute LGBTQ+, particulierement visee par les discriminations. Le conseil norvegien des consommateurs a donc decide d’attaquer l’entreprise en justice, pour multiples violation du reglement europeen sur la protection des donnees (RGPD). Cette categorie d’infraction est passible d’une amende du montant le plus eleve entre 20 millions d’euros et 4 % du chiffre d’affaires annuel de l’entreprise.
Quelles precisions seront concernees ?
Mes informations communiquees a des firmes tierces par des applications sont de deux types, au regard du RGPD :
- Mes donnees personnelles : date de naissance, age, adresse IP [un numero associe a votre appareil electronique, ici au smartphone, ndlr], coordonnees GPS (localisation), l’advertising ID [un identifiant attribue via Android qui permet de lire un individu entre les applications, ndlr].
- Mes informations sensibles, un sous-ensemble bien plus protege dans la loi, car elles peuvent servir a discriminer plusieurs groupes : genre, orientation sexuelle, opinions religieuses.
Detail du type de informations et du nombre de destinataires adresses avec nos applications. // Source : Forbrukerradet
Chacune des 10 applications communique un plus ou moins grand nombre de ces donnees, de maniere plus ou moins precise (cf. image ci-dessus), a des tiers. Mes auteurs de l’etude insistent particulierement sur Grindr, Tinder et OkCupid, qui fournissent des informations relatives a l’orientation sexuelle de leurs utilisateurs. Pourtant, Grindr s’etait deja fait epingle apres avoir partage le statut serologique des utilisateurs.
Qui recupere les donnees ?
En tout, les auteurs de l’etude ont recense 135 entreprises destinataires Plusieurs precisions, dans une liste non-exhaustive. Elles ont des noms inconnus des non-specialistes comme AppsFlyer, LeanPlum, AdColony, mais on trouve aussi des filiales de Google, Facebook ou encore Twitter. La majorite d’entre-elles seront des data-brokers : leur activite est d’agreger et de combiner de grandes quantites de donnees de consommateurs, issues de differentes sources, publiques comme privees, afin de les revendre.
Elles partagent donc toutes vos donnees a des entreprises de marketing, d’estimations des dangers ou de prevention a J’ai fraude. Vos renseignements se propagent ainsi de serveur en serveur de facon invisible, sans que vous ne puissiez donner ou retirer ce consentement.
« Ces entreprises ont des pratiques de collecte et d’utilisation des donnees des consommateurs dont la legalite est questionnable. J’ai colonne vertebrale de votre systeme publicitaire pourrait etre de facon systemique contraire au RGPD », ecrivent les auteurs de l’etude. D’apres un texte universitaire, lorsqu’un site demande de facon claire a ses visiteurs s’ils acceptent le partage de leurs informations a des acteurs tiers a des fins publicitaires, ils refusent dans 99,9 % des cas.
Que peut-on Realiser avec faire mes informations ?
Plus un publicitaire — ou un hacker — aura un grand nombre de donnees sur une aussi personne, plus il lui sera facile de reperer les donnees qui lui manquent concernant completer votre profil. Pourquoi pas, si l’adresse IP parait etre une donnee a faible valeur, elle permettra en fera de coder 1 profil tracable un coup recoupee a d’autres.
« L’adresse IP n’est jamais un indicateur tres fiable. Mais elle permet, comme, de savoir que c’est la meme personne qui est revenue sur le site a 2 heures d’intervalle. Et si on combine l’adresse IP avec l’age et le genre de la personne, on dispose d’une empreinte quasi unique. On peut ainsi traquer le comportement, sans avoir son nom ou 1 identifiant comme l’adresse email », previent Gaetan Notre Guelvouit, responsable du laboratoire confiance & marketing chez b<>com, interroge avec Cyberguerre de Numerama.
Cette empreinte permettra par exemple aux annonceurs de personnaliser les publicites qu’ils vous afficheront au regard de votre genre, de votre age et de votre comportement, c’est-a-dire des autres pages internet que vous auriez pu visiter. Cette fonctionnel a deja abouti a de multiples debordements. Pourquoi pas, Facebook avait permis a toutes les annonceurs de cibler des conspirationnistes antisemites qui pensaient que des Juifs preparaient votre « genocide blanc ». Un an plutot, l’entreprise californienne un permettait d’exclure certaines ethnies de leur ciblage publicitaire.
Mes informations encore plus exposees a toutes les dangers
D’autres donnees permettent a elles seules de deduire diverses renseignements. « Dans ces revelations, c’est l’acces aux precisions GPS qui me derange le plus. Il faut juste tomber sur des recurrences dans les deplacements, ainsi, on peut sans probli?me identifier la zone d’embauche et le domicile d’la personne. Ensuite, il suffit de Realiser le lien au milieu des pages blanches Afin de trouver son nom. Quand on dispose de l’age ou en date maternel, on peut meme confirmer ce qu’on a degote », developpe le chercheur.
En terme de securite, il s’agit d’un vrai desastre. Chaque fois que vos informations paraissent partagees a une nouvelle entreprise, vous etes exposes a votre nouveau va parfois fuite ou d’ attaque. Or, si des acteurs malveillants mettent la main sur des donnees d’une telle valeur, ils pourront causer de nombreuses dommages. Comme, 1 hacker pourrait Realiser du chantage aupres de personnes homosexuelles n’ayant pas fait un coming-out. Pire, il pourrait menacer leur life. Usurpation d’identite, espionnage, les menaces paraissent grandes.
Que puis-je faire Afin de proteger les informations ?
J’ai meilleure solution est evidemment d’effacer chacune des precisions que vous pouvez et de quitter l’application. Mais si vous souhaitez rester via ces applications de rencontre, les possibilites seront limitees. « Il est des applications qui permettront de faire des fausses donnees GPS, on peut mentir dans son age ou son genre…. mais on perd aussi l’interet de l’application », rappelle Gaetan Le Guelvouit. A minima, vous pouvez se servir de un VPN pour masquer votre adresse IP, votre est toujours une donnee pertinente de moins.
« Le principal probleme, c’est que ces applications sont hypocrites. Pour les specialistes de la cybersecurite, Cela reste evident qu’elles vont revendre les precisions, car un valeur est consequente. Mais puisque des utilisateurs paraissent confrontes chaque jour a ce type de scandale, ils s’y habituent et ne considerent gui?re les risques… », regrette L’expert.