Monde | Technologies

Rupture difficile : les applis que vous avez supprimées vous pistent-elles à votre insu?

Certains développeurs exploitent une faille pour savoir si vous avez largué leur appli, puis vous ciblent dans l’espoir que vous reviendrez sur votre décision.

A Facebook IconFacebook A Twitter IconTwitter A Linkedin IconLinkedin An Email IconCourriel

Illustration d'un homme assis regardant un téléphone cellulaire alors qu'il était enchaîné à une icône d'applicationUne appli désinstallée continue de vous pister? Certaines entreprises ne perçoivent pas cette lacune comme une faille, mais comme une fonction dont l’existence devrait normalement être connue de l’utilisateur. (Illustration de Katie Carey)

La nouvelle application que vous aviez téléchargée n’a pas rempli ses promesses? Vous n’avez pas hésité à la supprimer? Eh bien, à en croire un rapport de Bloomberg Businessweek, bon nombre d’applis éliminées de votre téléphone tardent, elles, à couper les liens.

Les concepteurs d’applications peuvent en effet exploiter une faille des systèmes d’exploitation iOS et Android pour savoir que vous avez supprimé leur petit chef-d’œuvre, puis vous cibler au moyen d’annonces publicitaires dans l’espoir de vous regagner comme client. Comment s’y prennent-ils? Les concepteurs exploitent les notifications poussées, qui servent notamment à rafraîchir la boîte de réception. Si le serveur ne reçoit pas de confirmation que la connexion a été établie avec l’appli, il indiquera que celle-ci a été désinstallée. Bien utile pour remplir votre boîte de publicités ciblées. Seulement voilà : cette pratique de relever et d’utiliser l’ID publicité de votre appareil mobile contrevient aux politiques d’Apple et de Google, qui interdisent le recours aux notifications poussées pour se bâtir une liste de clients potentiels.

Un abus de confiance éhonté

Seul le suivi du nombre de personnes ayant installé ou désinstallé une application est utile pour le développeur et le propriétaire du produit. Par exemple, savoir qu’il y a eu un pic notable du nombre d’installations ou de désinstallations au moment d’une mise à jour permet de déterminer si celle-ci reçoit ou non un bon accueil.

Mais il est question de tout autre chose lorsqu’un développeur peut savoir qui précisément a désinstallé une application. Quand des données concernant une personne sont utilisées à son insu, il s’agit clairement d’un abus de sa confiance, affirme Ian Myrfield, développeur d’applications pour système Android chez FreshWorks Studio, en Colombie-Britannique. [lire Lorsqu’on opte pour l’IA, il faut avant tout protéger la vie privée du client, insiste Chantal Bernier]

« Nous n’avons jamais cherché à savoir quels utilisateurs délaissaient les applications que nous avons développées, affirme M. Myrfield. Mais ce n’est pas la première fois qu’il est question d’une faille dans un système d’exploitation. Si quelque chose va à l’encontre des politiques de Google ou d’Apple, ceux-ci vont trouver un correctif. »

Le hic, c’est que certaines entreprises ne perçoivent pas cette lacune comme une faille, mais bien comme une fonction dont l’existence devrait normalement être connue de l’utilisateur, arguant que l’utilisateur est censé avoir approuvé la transmission des notifications poussées.

Une pratique qui se fait à l’insu des utilisateurs

Cette pratique est alarmante, selon les experts en confidentialité des données, qui font valoir que les consommateurs n’en sont généralement pas au courant.

« Si les gens en étaient conscients, ils s’inscriraient massivement en faux contre ces manœuvres », prétend Ann Cavoukian, ancienne commissaire à l’information et à la protection de la vie privée de l’Ontario et experte des questions de confidentialité.

Mme Cavoukian a présenté un concept appelé Privacy by Design pour aider les entreprises à intégrer de façon proactive des mesures de confidentialité à leurs pratiques commerciales. Un des principes de base est d’assurer par défaut la confidentialité des données. 

« La confidentialité par défaut, ça signifie que vous n’avez pas à chercher dans les paramètres les cases à cocher pour renforcer la confidentialité, par exemple une option du genre “Ne pas utiliser mes données à d’autres fins”. Vos renseignements ne devraient servir que pour les fins précisées et attendues de votre part. Si des développeurs veulent les utiliser à d’autres fins, ils devraient avoir à vous demander expressément la permission », ajoute Mme Cavoukian.

L’experte, qui compte une vingtaine d’années d’expérience dans le domaine de la confidentialité, mentionne les constatations de récents sondages d’opinion qui portent à croire qu’il existe un « déficit de confiance » entre les consommateurs et les entreprises. Selon un sondage de Pew Research mené en 2018 aux États-Unis, seulement 9 % des répondants croient qu’ils ont « un haut niveau de maîtrise » de l’information recueillie à leur sujet

« Les préoccupations au sujet de la protection des données personnelles sont plus élevées que jamais, et la confiance est à son plus bas, soutient Mme Cavoukian. Les entreprises les plus sages en tiennent compte. »

Que pouvez-vous y faire?

Malheureusement, la seule façon d’être épargné des pratiques douteuses consiste à ne pas utiliser d’application du tout.

« De nos jours, si vous n’êtes pas prêt à partager des données élémentaires à des fins d’analyse, il vous est impossible d’utiliser des applications, explique Ian Myrfield. Mais tant Google qu’Apple ont le pouvoir de retirer de leurs étagères virtuelles les produits qui contreviennent à leurs politiques », dit-il.

POUR EN SAVOIR PLUS

Le Règlement général sur la protection des données (RGPD) de l’Union européenne, entré en vigueur en mai 2018, a instauré une nouvelle norme mondiale de confidentialité et de transparence des données, même pour les entreprises canadiennes.

Lisez aussi un résumé de stratégies d’experts pour protéger votre entreprise des brèches à la sécurité des données. Par ailleurs, peut-être voudrez-vous suivre notre Introduction à la cybersécurité pour les CPA, un cours qui fait partie d’un certificat en cybersécurité qui sera bientôt proposé par CPA Canada.