Discussion :

[Stéphane le calme]

Plus de la moitié des applications disponibles sur Play Store ne seraient pas conformes au RGPD,
le règlement sur la protection des données qui va bientôt entrer en vigueur

Le 25 mai 2018, la loi européenne relative à la protection des données la plus importante de ces 20 dernières années entrera en vigueur. Le Règlement Général sur la Protection des Données (RGPD) va alors remplacer la Directive sur la protection des données personnelles actuellement en vigueur et adoptée en 1995. Le RGPD renforce les droits des individus concernant leurs données personnelles. Il vise à uniformiser les lois sur la protection des données au sein de l'Union européenne, quel que soit le pays où les données sont traitées.

Rendu à quelques mois seulement de son entrée en vigueur, quel est l’état des lieux en Europe ?

SafeDK, un cabinet qui surveille l'utilisation des kits de développement logiciel (SDK) dans les applications mobiles, a donné les résultats d’une étude qui s’est basée sur une analyse approfondie de centaines de milliers d'applications populaires de Google Play à l'échelle mondiale. Le cabinet a alors effectué un comparatif à une base de données de plus de 1000 SDK.

SafeDK rappelle que « L'intégration des SDK a de nombreuses vertus [...], ils offrent des fonctionnalités qui aident les applications mobiles à être les meilleures applications. Mais ce sont toujours des boîtes noires de codes tiers que les éditeurs d'applications intègrent dans leur application. »

À quelles informations privées des utilisateurs les SDK accèdent-ils ?

Plus de la moitié (56 %) des applications ont au moins un SDK qui essaye d'accéder à l'emplacement de l'utilisateur. Deux applications sur cinq ont au moins un SDK qui tente d’obtenir la liste des applications installées sur le dispositif de l’utilisateur, tandis que 29,3 % des applications cherchent à obtenir la liste des contacts de l’utilisateur.

« L'un des exemples que Google donne de l'accès inutile aux données privées des utilisateurs (et qui sera bientôt appliqué) est l'accès à liste des applications installées sur l'appareil d'un utilisateur. Cette information n'est protégée par aucune permission que l'utilisateur peut accorder ou révoquer. L'intention est de vérifier les applications installées afin qu'elles puissent communiquer entre elles à chaque fois que cela sera possible », note SafeDK.

Une situation qui n’est donc pas conforme au RGPD. Les entreprises faisant usage de ces SDK seront donc amenées à faire des changements dans leur code si elles veulent rester conformes à la loi.

Combien de SDK accèdent aux informations des utilisateurs ?

Le tableau suivant indique le pourcentage de SDK accédant à des informations privées. Sur la gauche, nous avons des données sur tous les SDK, sur la droite, nous avons une analyse détaillée pour les SDK de réseau publicitaire uniquement :

« Fait intéressant, alors que les applications ont utilisé davantage de SDK au cours du trimestre, de plus en plus d'applications intègrent des SDK qui accèdent aux données des utilisateurs privés, mais cet accès est fait par moins de SDK. La situation est la même du côté des réseaux publicitaires : ils ont également réduit l'accès aux données privées des utilisateurs. Même si cette réduction n’est pas significative, il s’agit néanmoins d’un pas dans la bonne direction. Nous avons vu certains réseaux publicitaires populaires ne plus accéder à la liste des applications installées par l’utilisateur, par exemple. Il semble que les SDK prennent effectivement les mesures nécessaires pour assurer la sécurité des applications qui les intègrent et se préparent à de nouvelles réglementations à venir. »

Source : rapport SafeDK

Et vous ?

Avez-vous mis en place des procédés au niveau de vos applications, ou au sein de votre lieu de travail afin d'être en conformité avec la nouvelle réforme ?

Voir aussi :

Europe : nouvelle réglementation générale sur la protection des données à respecter avant le 25 mai 2018, vos applications seront-elles conformes ?
Facebook va déployer de nouveaux outils pour donner aux utilisateurs plus de contrôle de leur vie privée, en préparation à l'entrée en vigueur du RGPD
Piratage d'Uber : la France demande des éclaircissements, et rappelle à l'entreprise les sanctions qu'elle encourt dès l'application du RGPD

[zecreator]

N'oublions-pas qu'en tant qu'éditeur d'application, on ne paye pas pour l'utilisation des SDK et des environnements de développement. Certes, on paye sa visibilité sous Google Play, mais c'est peanuts !

C'est "gratuit" parce que ces systèmes permettent justement la collecte de certaines informations. Si demain ils ne peuvent plus le faire, resteront-ils gratuits ? Cela aura t-il un impact sur le prix des applications ? Pire, Google aura t-il encore un intérêt à continuer le développement des SDK ?

Vaste problème.

Je pense qu'il faut accepter de recevoir de la pub ciblée en "lâchant" quelques infos privées, en échange de la gratuité des apps. Avoir une certaine flexibilité face aux demande d'infos. Je trouve que c'est un deal honnête que les utilisateurs sont prêts à faire pour continuer à utiliser leur smartphone.

[LordMacharius]

Ce n'est pas tellement le fait que ces applications accèdent à des informations privées qui pose problème, mais bien qu'elles le fassent sans que nous le sachions et sans contrôle dessus à un moment.

De plus même lorsque nous payons des applications elles accèdent aussi à ces informations pour la plupart, du coup l'argumentation qui consiste à dire que c'est gratuit grâce aux données est moins pertinent.

Je suis très vigilant sur ce point et je n'hésite pas à supprimer une application qui a ce genre de comportement. Si elle reste c'est que j'ai accepté de partager ces informations.
Néanmoins, lorsque une application météo me demande accès à la liste de mes contacts .... on peut légitimement se poser des questions.

[zecreator]

Ce n'est pas tellement le fait que ces applications accèdent à des informations privées qui pose problème, mais bien qu'elles le fassent sans que nous le sachions et sans contrôle dessus à un moment.

Il me semble que sous Android, lorsqu'une appli a besoin d'accéder à une zone dite "privée", tu dois l'autoriser manuellement. En plus, c'est clairement indiqué dans la fiche de l'appli. Il suffit de regarder avant d'installer. C'est peut-être aussi le problème de base. Les gens installent de manière frénétique, sans vérifier ce point. Et après ils constatent et ils râlent.

[Madmac]

N'oublions-pas qu'en tant qu'éditeur d'application, on ne paye pas pour l'utilisation des SDK et des environnements de développement. Certes, on paye sa visibilité sous Google Play, mais c'est peanuts !

C'est "gratuit" parce que ces systèmes permettent justement la collecte de certaines informations. Si demain ils ne peuvent plus le faire, resteront-ils gratuits ? Cela aura t-il un impact sur le prix des applications ? Pire, Google aura t-il encore un intérêt à continuer le développement des SDK ?
.

Oui pour les même raison que Microsoft. Au train ou vont les choses, un des grands joueurs va finir par offrir un produit qui va offrir la capacité de produire de véritable GUI. Si demain Firefox annonce que son navigateur sera doté d'une machine virtuelle à la façon de Java. La fabrication d'applis complexe sur navigateur va devenir une réalité. SUN avec sa librairie installable était sur la bonne voie, malheureusement, à l'époque, les machines n'étaient pas assez puissante pour que le concept soit viable, Cela va se produire, j'en suis certain.