top of page

Applications Android : des politiques de confidentialité contradictoires

Applications Android : des politiques de confidentialité contradictoires

Un grande nombre d’applications mobiles Android répertoriées sur la boutique officielle de Google contiennent des déclarations contradictoires dans leur politique de confidentialité en ce qui concerne les pratiques de collecte de données.

Lors d’une étude universitaire publiée l’an passé, des chercheurs ont conçu l’outil PolicyLint, qui analyse le langage utilisé dans les politiques de confidentialité de 11 430 applications du Play Store.

Ils ont constaté que 14,2 % (soit 1 618 applications) contenaient une politique de confidentialité avec des déclarations contradictoires sur la collecte de données. Par exemple, certaines politiques de confidentialité déclarent dans une section qu’elles ne collectent pas de données personnelles, pour se contredire dans les sections suivantes, où elles déclarent collecter des adresses e-mails et des noms de clients – qui sont clairement des informations personnelles identifiables.

publicité

Dans certains cas, les templates sont fautifs

S’il est difficile de connaître la réelle intention du fabricant de l’application, les chercheurs estiment que le but premier est d’induire les utilisateurs en erreur, si jamais ils prennent le temps de lire ces règlements. Mais ils ont aussi découvert des preuves venant contredire cette idée. Par exemple, l’équipe de recherche a trouvé 59 applications qui utilisent des services en ligne pour générer automatiquement une politique de confidentialité. Un examen plus approfondi de ces services a révélé que les déclarations contradictoires faisaient partie du template lui-même, indépendamment de l’éditeur de l’application.

« Je pense que nous avons trouvé quatre à cinq templates différents », a déclaré Benjamin Andow, d’IBM Research, et l’un des auteurs de l’étude. Toutefois, la grande majorité des autres politiques de protection de la vie privée sont propres à chaque application et ne semblent pas résulter d’un accident. Pour ce cas de figure précis, l’équipe de recherche indique que les fabricants de ces applications sont susceptibles de se voir infliger des amendes par les organismes de surveillance de la protection de la vie privée de l’UE et des Etats-Unis.

« Les contradictions peuvent conduire à l’identification de déclarations trompeuses, qui peuvent faire l’objet de sanctions par la FTC et les DPA (autorités de protection des données) de l’UE », a déclaré Benjamin Andow, suggérant que leurs recherches pourraient être utilisées pour traquer les auteurs d’abus du RGPD.

Notifier les vendeurs

En outre, dans le cadre du processus de vérification de l’outil PolicyLint, l’équipe de recherche a également prélevé un échantillon de 510 politiques de confidentialité comportant des déclarations contradictoires et a vérifié manuellement leur exactitude. Comme ce processus impliquait une analyse minutieuse de l’ensemble de la politique de l’application, les chercheurs ont pris l’initiative d’informer l’éditeur de l’application de l’inexactitude de sa politique de confidentialité.

Sur les 510 applications, les chercheurs ont notifié par e-mail 260 développeurs. Sur ces 260 envois, 244 ont reçu le message puisque 16 adresses électroniques seulement se sont avérées non valides ou injoignables. Sur les 244 e-mails, les chercheurs ont déclaré n’avoir reçu que 11 réponses, à la suite de quoi seuls trois développeurs ont corrigé leur politique. L’équipe comprend des chercheurs et des universitaires de l’université d’Etat de Caroline du nord, de l’université de l’Illinois à Urbana-Champaign et d’IBM Research.

Les conclusions de l’étude sont cohérentes avec les résultats d’une précédente étude datant de 2019, intitulée “On the Ridiculousness of Notice and Consent : Contradictions in App Privacy Policies”. Cette étude antérieure analysait un échantillon plus important d’applications du Play Store pour détecter les incohérences entre les pratiques de collecte de données et ce qui est explicitement divulgué dans les politiques de confidentialité.

Les chercheurs ont découvert que 10,5 % des 68 051 applications analysées partageaient des données personnelles avec des services tiers, sans pour autant les déclarer dans leurs politiques de confidentialité. Par ailleurs, seulement 22,2 % des 68 051 applications mentionnent explicitement des partenaires ou des affiliés tiers dans leurs politiques de confidentialité, la grande majorité des applications cachant l’endroit où aboutissent les données collectées sur les utilisateurs.

Source : ZDNet.com

0 vue0 commentaire

Comments


bottom of page