Plus de la moitié des applications disponibles sur Play Store ne seraient pas conformes au RGPD,
le règlement sur la protection des données qui va bientôt entrer en vigueur
Le 25 mai 2018, la loi européenne relative à la protection des données la plus importante de ces 20 dernières années entrera en vigueur. Le Règlement Général sur la Protection des Données (RGPD) va alors remplacer la Directive sur la protection des données personnelles actuellement en vigueur et adoptée en 1995. Le RGPD renforce les droits des individus concernant leurs données personnelles. Il vise à uniformiser les lois sur la protection des données au sein de l'Union européenne, quel que soit le pays où les données sont traitées.
Rendu à quelques mois seulement de son entrée en vigueur, quel est l’état des lieux en Europe ?
SafeDK, un cabinet qui surveille l'utilisation des kits de développement logiciel (SDK) dans les applications mobiles, a donné les résultats d’une étude qui s’est basée sur une analyse approfondie de centaines de milliers d'applications populaires de Google Play à l'échelle mondiale. Le cabinet a alors effectué un comparatif à une base de données de plus de 1000 SDK.
SafeDK rappelle que « L'intégration des SDK a de nombreuses vertus [...], ils offrent des fonctionnalités qui aident les applications mobiles à être les meilleures applications. Mais ce sont toujours des boîtes noires de codes tiers que les éditeurs d'applications intègrent dans leur application. »
À quelles informations privées des utilisateurs les SDK accèdent-ils ?
Plus de la moitié (56 %) des applications ont au moins un SDK qui essaye d'accéder à l'emplacement de l'utilisateur. Deux applications sur cinq ont au moins un SDK qui tente d’obtenir la liste des applications installées sur le dispositif de l’utilisateur, tandis que 29,3 % des applications cherchent à obtenir la liste des contacts de l’utilisateur.
« L'un des exemples que Google donne de l'accès inutile aux données privées des utilisateurs (et qui sera bientôt appliqué) est l'accès à liste des applications installées sur l'appareil d'un utilisateur. Cette information n'est protégée par aucune permission que l'utilisateur peut accorder ou révoquer. L'intention est de vérifier les applications installées afin qu'elles puissent communiquer entre elles à chaque fois que cela sera possible », note SafeDK.
Une situation qui n’est donc pas conforme au RGPD. Les entreprises faisant usage de ces SDK seront donc amenées à faire des changements dans leur code si elles veulent rester conformes à la loi.
Combien de SDK accèdent aux informations des utilisateurs ?
Le tableau suivant indique le pourcentage de SDK accédant à des informations privées. Sur la gauche, nous avons des données sur tous les SDK, sur la droite, nous avons une analyse détaillée pour les SDK de réseau publicitaire uniquement :
« Fait intéressant, alors que les applications ont utilisé davantage de SDK au cours du trimestre, de plus en plus d'applications intègrent des SDK qui accèdent aux données des utilisateurs privés, mais cet accès est fait par moins de SDK. La situation est la même du côté des réseaux publicitaires : ils ont également réduit l'accès aux données privées des utilisateurs. Même si cette réduction n’est pas significative, il s’agit néanmoins d’un pas dans la bonne direction. Nous avons vu certains réseaux publicitaires populaires ne plus accéder à la liste des applications installées par l’utilisateur, par exemple. Il semble que les SDK prennent effectivement les mesures nécessaires pour assurer la sécurité des applications qui les intègrent et se préparent à de nouvelles réglementations à venir. »
Source : rapport SafeDK
Et vous ?
Avez-vous mis en place des procédés au niveau de vos applications, ou au sein de votre lieu de travail afin d'être en conformité avec la nouvelle réforme ?
Voir aussi :
Europe : nouvelle réglementation générale sur la protection des données à respecter avant le 25 mai 2018, vos applications seront-elles conformes ?
Facebook va déployer de nouveaux outils pour donner aux utilisateurs plus de contrôle de leur vie privée, en préparation à l'entrée en vigueur du RGPD
Piratage d'Uber : la France demande des éclaircissements, et rappelle à l'entreprise les sanctions qu'elle encourt dès l'application du RGPD
Partager