Les chercheurs de *Confidentialité non incluse ont trouvé des divergences entre les étiquettes de sécurité des données du Google Play Store et la politique de confidentialité de pratiquement 80 % des applications étudiées.

Les étiquettes de sécurité des données du Google Play Store voudraient vous faire croire que ni TikTok ni Twitter ne partagent vos données avec des parties tierces. Pourtant, les politiques de confidentialité de ces deux applications indiquent clairement qu’elles communiquent les informations de leurs utilisateurs avec des annonceurs, des fournisseurs de services Internet, des plateformes et de nombreux autres types d’entreprises.

Ce sont deux des exemples les plus flagrants découverts par les auteurs du rapport *Confidentialité non incluse de Mozilla dans le cadre d’une étude visant à déterminer si les nouvelles étiquettes de sécurité des données du Google Play Store fournissent aux utilisateurs des informations exactes sur la façon dont les applications collectent, utilisent et partagent leurs données personnelles. Or, dans près de 80 % des cas, Mozilla a constaté que les étiquettes étaient soit fausses soit trompeuses en raison de divergences importantes entre les politiques de confidentialité des applications et les informations fournies par ces mêmes applications sur le formulaire relatif à la sécurité des données de Google. Les auteurs du rapport en ont conclu que le système actuel n’est pas d’une grande aide aux utilisateurs pour leur permettre d’acheter ou de télécharger l’une des 2,7 millions d’applications de la boutique sans compromettre leur vie privée.

L’étude, intitulée « See No Evil : How Loopholes in the Google Play Store’s Data Safety Labels Leave Companies in the Clear and Consumers in the Dark » (qui pourrait se traduire par « Pas vu pas pris : comment les failles dans les avertissements relatifs à la sécurité des données du Google Play Store protègent plus les entreprises que les consommateurs ») révèle de graves lacunes dans le Formulaire relatif à la sécurité des données. En effet, celles-ci permettent aux applications de fournir sans difficulté des informations trompeuses ou erronées. Google dispense ainsi les applications qui partagent des données avec des « fournisseurs de services » d’en informer leurs utilisateurs, ce qui s’avère problématique en raison à la fois de la définition limitée que la firme de Mountain View utilise pour les fournisseurs de services et de la grande quantité de données concernées. Par ailleurs, Google se décharge de toute responsabilité en déclarant que seules les applications « sont responsables de faire des déclarations complètes et exactes ».

Les étiquettes trompeuses du Google Play Store sur la sécurité des données donnent aux utilisateurs un faux sentiment de sécurité. Les étiquettes nutritionnelles objectives et sincères nous aident à mieux manger. Il est temps que nous disposions d’étiquettes de sécurité des données elles aussi objectives et sincères pour nous aider à mieux protéger notre vie privée.

Jen Caltrider, Responsable de * Confidentialité non incluse, Mozilla

Afin de réaliser cette étude, Mozilla a comparé les politiques et les étiquettes de confidentialité des 20 applications payantes ainsi que des 20 applications gratuites les plus populaires sur le Google Play Store. Chaque application s’est ensuite vu attribuer une appréciation allant de « Médiocre » à  Ok » en passant par « À améliorer ». Les applications ayant reçu l’appréciation « Médiocre » présentaient des divergences importantes entre leur politique de confidentialité et le formulaire de sécurité des données qu’elles avaient renseigné sur le Google Play Store. Ces divergences concernaient les types de données partagées ou collectées ou encore les raisons pour lesquelles les données étaient partagées ou collectées. Les applications ayant obtenu l’appréciation « Ok » avaient des politiques de confidentialité qui correspondaient aux informations communiquées dans le formulaire de sécurité des données. Enfin, les applications ayant reçu la note « À améliorer » se situaient quelque part entre les deux précédentes catégories. L’étude a notamment permis d’arriver aux conclusions suivantes :

« Les consommateurs se soucient de leur vie privée et veulent prendre des décisions éclairées lorsqu’ils téléchargent des applications. Les étiquettes de sécurité des données fournies par Google sont censées les y aider. Malheureusement, notre étude prouve que ce n’est pas du tout le cas. Et je crains que ces étiquettes ne fassent en réalité plus de mal que de bien », a déclaré Jen Caltrider, chef de projet chez Mozilla. « Lorsque je vois des étiquettes de sécurité des données qui indiquent que des applications comme Twitter ou TikTok ne partagent pas de données avec des parties tierces, cela me met profondément en colère car c’est tout à fait faux. Twitter et TikTok partagent évidemment des données avec des parties tierces. Je pense que les utilisateurs méritent mieux. Et que Google doit faire mieux. »

Et d’ajouter : « Les étiquettes trompeuses du Google Play Store sur la sécurité des données donnent aux utilisateurs un faux sentiment de sécurité. Les étiquettes nutritionnelles objectives et sincères nous aident à mieux manger. Il est temps que nous disposions d’étiquettes de sécurité des données elles aussi objectives et sincères pour nous aider à mieux protéger notre vie privée. »

Citant une enquête menée par le Washington Post en 2021, qui a révélé des problèmes similaires avec les étiquettes de l’App Store d’Apple, Jen Caltrider a déclaré que l’étude de Mozilla remet également en question la capacité de Google et d’Apple à contrôler objectivement la sécurité des applications au sein de leurs boutiques en ligne. Le Google Play Store et l’App Store ont généré respectivement des revenus bruts d’environ 48 milliards et 60 milliards de dollars américains grâce aux applications mobiles en 2021. Après les propos de l’administration Biden accusant les deux boutiques de tenir « un rôle de gardien en contrôlant (et en restreignant) la façon dont les applications sont distribuées », Jen Caltrider a enjoint le secteur technologique à prendre rapidement des mesures pour créer des étiquettes de sécurité des données standardisées, à l’instar de celles que l’on trouve maintenant sur les produits de grande consommation et les menus des fast-foods.

« L’histoire de l’étiquetage nutritionnel montre qu’il est possible de créer un système standardisé qui s’intègre à un tissu culturel existant tout en faisant la différence de manière positive pour les utilisateurs au quotidien », conclut Jen Caltrider.

Dans cette optique, Mozilla recommande à Google et Apple d’adopter un formulaire universel et standardisé pour évaluer la confidentialité des données des applications sur leurs plateformes. Mozilla recommande également aux deux géants de la technologie de développer et d’expliquer toutes les mesures qu’elles prennent à l’encontre des applications qui ne se conforment pas aux règles, et enfin de se porter garants de l’exactitude des informations communiquées par les applications.

L’étude s’appuie sur le projet de Mozilla intitulé *Confidentialité non incluse, dont l’objectif est à la fois de fournir aux consommateurs les informations dont ils ont besoin pour préserver leur vie privée et d’inciter le secteur de la technologie à en faire plus pour protéger les utilisateurs. Depuis 2017, 100 apps et 300 appareils connectés à Internet ont été passés en revue par Mozilla à cet effet.

Mozilla

Mozilla

*Confidentialité non incluse