EnquêteDes dizaines de sociétés s’insèrent dans des applications banales pour collecter des données, amassant des informations sur des millions de Français.

Par dizaines, ils se nichent dans des applications mobiles utilisées quotidiennement par des millions de Français. Ils capturent discrètement des données, souvent personnelles, sans que les utilisateurs n’en soient nécessairement conscients, alimentant au passage une industrie opaque et méconnue. Certains de ses acteurs disposent de données sur des millions de Français.

Il s’agit de trackers, de petits logiciels incorporés dans des applications mobiles du quotidien (réseaux sociaux, médias, banques, sites de rencontre). Chaque application en compte 2,5 en moyenne, selon une analyse de plus de 350 applications, réalisée par un groupe d’activistes, rassemblés depuis octobre en association, et publiée vendredi 24 novembre sur leur plate-forme baptisée Exodus. Rares sont les applications qui en sont dépourvues et certaines vont jusqu’à en intégrer une quinzaine. Ce paysage n’est pas exhaustif : la plate-forme ne cherche que les trackers qu’elle a préalablement identifiés, soit une quarantaine.

D’ici à quelques semaines, Exodus permettra à n’importe quel internaute de soumettre une application pour analyse. Pour le moment, la plate-forme ne s’est penchée que sur les applications Android, l’analyse de leurs homologues pour iPhone nécessitant des développements techniques dont le groupe, bénévole, n’a pas les moyens. L’association prévoit d’ailleurs un appel à contribution des internautes pour tenter de rentrer dans ses frais.

Les trackers analysés par Exodus se divisent en trois grandes catégories : ceux qui permettent aux développeurs d’applications d’obtenir des informations sur la manière dont les mobinautes utilisent leur application, ceux qui permettent de proposer de la publicité et ceux qui cherchent à cibler plus finement les utilisateurs, notamment en établissant un lien entre leur activité en ligne et leurs déplacements géographiques.

Les « trackers » de mesure d’audience

Quasiment toutes les applications analysées comportent des composants destinés à mesurer leur audience. C’est le cas, par exemple, de l’application du Monde, qui utilise Xiti pour savoir combien de visiteurs consultent nos articles, de celle d’Allociné ou encore de la banque Caisse d’épargne. Quels types de données cette solution récupère-t-elle ? Le nombre de pages visitées dans l’application, leur enchaînement exact, le temps passé sur chacune d’entre elles et l’adresse IP (l’identifiant de l’appareil sur Internet). Ces données sont traitées statistiquement par Xiti avant d’être fournies, agrégées, aux clients.

Autre type de trackers techniques présents dans de nombreuses applications, ceux qui permettent de fournir à l’éditeur des informations techniques relatives à un bug. Le plus courant est Crashlytics, présent dans plus d’un tiers des applications analysées par Exodus. Selon sa politique en matière de vie privée, l’application récupère l’identifiant unique du téléphone (un numéro correspondant à un appareil), des informations relatives au système d’exploitation, mais aussi, dans certains cas, la localisation physique de l’appareil mobile. L’application assure, cependant, ne partager ces données qu’avec ses clients. Crashlytics, autrefois propriété du réseau social Twitter, a été racheté par Google en début d’année.

Les « trackers » de publicité

Quasiment toutes les applications disposent de trackers destinés à la publicité mobile. Plus d’un tiers des applications analysées par Exodus envoient ainsi des données à la régie publicitaire de Google, DoubleClick. Cette dernière permet à des entreprises de diffuser leurs publicités dans des applications. Un texte commun à tous les services de Google détaille sa politique en matière de collecte des données. Pêle-mêle, on y trouve les informations liées à l’appareil mobile, l’historique de navigation dans les services du géant d’Internet ou la géolocalisation. Difficile de savoir précisément les données collectées par son service publicitaire.

Aperçu de la plateforme Exodus et des applications analysées. CAPTURE D'ECRAN

Ad4Screen est également une société dont le logiciel est embarqué par plusieurs applications courantes, comme celles du Monde, du Parisien, de Voyages SNCF, de Libération ou des Pages Jaunes. La société est spécialisée dans la publicité pour applications mobiles, l’envoi de notifications, mais également dans le retargeting, une pratique qui consiste à afficher à un internaute des publicités pour un produit qu’il a consulté en ligne. Même si Ad4Screen ne mentionne pas sur son site le type de données qu’elle collecte, elle promet à ses clients d’envoyer dans leurs applications des notifications « ciblées et géolocalisées » permettant « de drainer du trafic en magasin et de convertir les utilisateurs mobiles en acheteurs ».

Un pont entre le numérique et le physique

C’est justement cet aspect méconnu de cette industrie qui avait choqué de nombreux internautes lors de la publication d’un article du site Numerama sur Teemo, une société spécialisée dans le « Web to Store ». Ce terme désigne les techniques destinées à repérer – lors de leur navigation en ligne – des clients s’étant rendus physiquement dans une boutique, ou inversement.

Plusieurs sociétés occupent ce même créneau et leurs trackers apparaissent dans les analyses réalisées par Exodus. C’est le cas de Vectaury et de Fidzup, présentes dans respectivement deux et cinq applications analysées par la plate-forme.

« Nous avons vu passer autour de 30 millions de gens en magasin, soit tous les mobinautes français. »

La seconde, fondée en 2011, dispose des box dans des magasins physiques permettant de repérer tout téléphone avec le Wi-Fi activé présent dans la boutique. L’entreprise capte ainsi l’adresse MAC – un identifiant unique que comportent tous les appareils pouvant être connectés à un réseau – et peut donc géolocaliser très finement l’utilisateur, au rayon près. D’autre part, grâce aux trackers présents dans des applications tierces, elle peut retrouver des utilisateurs s’étant déjà rendus dans l’une des boutiques de ses clients, analyser son comportement en ligne et lui soumettre des publicités, par exemple, l’incitant à revenir en boutique.

« Nous avons vu passer autour de 30 millions de gens en magasin, soit tous les mobinautes français, mais on ne s’intéresse qu’à ceux qu’on peut retrouver en ligne [via les applications contenant un tracker Fidzup] », explique au Monde le cofondateur et directeur exécutif de Fidzup, Anh-Vu Nguyen.

« En l’occurrence, notre base de données couvre 12 millions de smartphones pour lesquels on peut lier l’activité en ligne avec l’activité en magasin (…) et notre objectif est de couvrir un maximum de mobinautes. »

Lire aussi Des ultrasons pour pister les téléphones

La société Vectaury tente, elle aussi, de lier l’activité en ligne et hors ligne en proposant des publicités ciblées basées sur les déplacements, récupérés par le biais des trackers mis en place dans les applications, par exemple, celle de Météo France.

« Notre métier, c’est de collecter des données GPS sur les smartphones, puis de les traiter dans notre base de données, pour savoir combien de personnes sont venues en point de vente après avoir vu une publicité », explique Matthieu Daguenet, le PDG de Vectaury. La technologie de la société permet aussi d’afficher des publicités basées sur les déplacements des utilisateurs possédant une application dans laquelle Vectaury est présente. « Techniquement, on pourrait aller “tracker” les gens, faire le boulot de la DGSE », explique M. Daguenet, avant d’affirmer que « ce n’est ni éthique, ni légal, ni notre métier ». « L’analyse de données ne se fait pas à l’échelle de l’individu, mais à l’échelle de groupe d’individus anonymes, via des principes statistiques », précise-t-il encore.

Les applications qui embarquent le tracker de Vectaury doivent « garantir contractuellement » que le consentement des utilisateurs a été recueilli, selon Mathilde Ferriol, chargée des questions de vie privée chez Vectaury. Bientôt, explique-t-elle, les applications comportant le tracker de l’entreprise afficheront une fenêtre d’information concernant Vectaury. « La performance publicitaire et le respect de la vie privée sont conciliables. Nous voulons être pédagogues et initier un cercle vertueux sur le marché », assure-t-elle encore. Une manière, aussi, de se conformer à la nouvelle réglementation européenne prévue pour le mois de mai. Chez Fidzup, on prévoit également une fenêtre d’information dans les applications où la société est présente.

Quel cadre légal pour ces « trackers » ?

En droit, la collecte de toute information directement liée à une personne ou à son appareil nécessite son consentement, y compris lorsqu’il s’agit d’une mesure d’audience. Peut-on parler de consentement lorsque l’utilisateur croit fournir ses données à une application et que dix ou quinze autres sociétés en profitent en sous-main ? Dans de nombreux cas, la mention de données partagées avec des tiers figure dans les conditions générales d’utilisation. En théorie, l’utilisateur devrait également pouvoir donner un consentement distinct pour chaque tracker. Le règlement général sur la protection des données, qui entrera en vigueur en mai, accentuera la responsabilité des trackers et des éditeurs d’application, qui devront prouver que le consentement des utilisateurs a été correctement recueilli.

Concernant les sociétés qui collectent à la fois des données en ligne et des données en magasin, la Commission nationale de l’informatique et des libertés, l’autorité française de protection des données, a publié en 2014 sur son site Internet les grandes lignes des obligations légales qui leur incombent. Figure ainsi la suppression des « données émises par le téléphone ». A défaut, elles doivent brouiller les données recueillies afin d’être dans l’incapacité d’isoler celles qui sont émises par un utilisateur donné.

Exodus permet ainsi d’éclairer, ne serait-ce que partiellement, un écosystème de la donnée personnelle très opaque et difficile d’accès pour le simple consommateur, fait de spécialistes du marketing récoltant des données, avec des outils dissimulés dans des applications banales, qui sont ensuite traitées et, le cas échéant, revendues à des marques. S’il est, par exemple, acquis que des données de localisation sont recueillies par une application de météo pour afficher la température là où se trouve l’utilisateur, rares sont ceux qui savent que cette géolocalisation est aussi transmise à une autre société.