Une même application peut transmettre des données très personnelles, comme la géolocalisation ou l’orientation sexuelle, à plusieurs centaines d’entreprises : c’est l’une des principales conclusions d’une vaste étude (cf. PDF) menée par le conseil norvégien des consommateurs (Forbrukerradet). L’organisme public chargé de la protection des consommateurs a déposé une plainte pour violation de la législation européenne sur la vie privée contre quatre sociétés : Grindr, Twitter et les régies publicitaires automatisées AppNexus et OpenX Software.

L’analyse technique des données transmises par les applications montre notamment que des données envoyées par Grindr, la célèbre application de rencontres LGBTQ, à MoPub, la régie publicitaire propriété de Twitter, étaient ensuite repartagées avec certains des 160 partenaires de MoPub. Les tests ont montré que la régie OpenX, partenaire de MoPub, recevait des mots-clés comme « gay » ou « bi » (pour « bisexuel ») dans le flux de données qui lui était transmises. MoPub affirme anonymiser certaines données personnelles, en tronquant par exemple l’adresse IP des utilisateurs, mais les contrôles effectués par le Forbrukerradet montrent que ce n’est pas le cas pour certains de ses partenaires.

Lire aussi Des mouchards cachés dans vos applications pour smartphones

Des internautes identifiables

C’est ce système de « transmission en cascade » qui est au cœur des reproches formulés par le Forbrukerradet – et des préoccupations de nombreux défenseurs de la vie privée. Même partiellement anonymisées, les données transmises à des régies peuvent permettre d’identifier facilement un internaute. En combinant des données issues de multiples sources, et en procédant à des recoupements basiques, ces sociétés sont capables d’établir des profils très complets d’internautes, qui incluent des informations très personnelles comme la géolocalisation, la santé ou la sexualité.

La législation européenne prévoit que les données d’utilisateurs ne peuvent être partagées que s’ils donnent leur consentement informé à ce partage. Or, argue le Forbrukerradet, la plupart des applications ne respectent pas cette obligation : les utilisateurs ignorent à quel point leurs données peuvent être repartagées par les régies publicitaires. AppNexus, l’une des plus grandes entreprises du secteur, est ainsi liée à 4 000 partenaires différents.

Interrogé par le New York Times, Twitter a affirmé avoir suspendu son service MoPub dans l’application Grindr, et avoir ouvert une enquête sur les informations du Forbrukerradet.

Le Monde