RGPD : une enquête montre comment des applications populaires comme Tinder ou Grindr Envoient des données hautement personnelles à des milliers de partenaires publicitaires

https://www.developpez.com/actu/290367/RGPD-une-enquete-montre-comment-des-applications-populaires-comme-Tinder-ou-Grindr-envoient-des-donnees-hautement-personnelles-a-des-milliers-de-partenaires-publicitaires/

Une enquête menée par l’association norvégienne de défense des consommateurs Norwegian Consumer Council (Forbrukerrådet), à laquelle se sont associées dix autres organisations similaires, dont la Fédération romande des consommateurs (FRC), a documenté comment de nombreuses applications pour smartphones envoient des données hautement personnelles à des milliers de partenaires publicitaires. Le document de 185 pages a montré comment des applications populaires telle Tinder abusent de la confiance des internautes ; elles accumulent des masses considérables de données, en plus des habitudes et du comportement des utilisateurs. Ces informations sont utilisées pour créer des profils complets sur les mobinautes qui peuvent être utilisés à des fins publicitaires ciblées mais également à d’autres fins.

Intitulée «Out of Control» (Hors de contrôle), l’enquête démontre « comment les consommateurs sont exploités par l’industrie de la publicité en ligne », écrivent les auteurs de l’étude. Avec de nombreux exemples, le document révèle comment, chaque fois que nous utilisons des applications, des centaines d’entités de l’ombre – comme les appellent les auteurs du rapport – reçoivent des données personnelles sur nos intérêts, nos habitudes et notre comportement.

« Ces pratiques échappent à tout contrôle et sont remplies de violations de la vie privée et de violations du droit européen. L’étendue du suivi nous empêche de faire des choix éclairés sur la façon dont nos données personnelles sont collectées, partagées et utilisées. Par conséquent, cette surveillance commerciale massive est systématiquement en contradiction avec nos droits fondamentaux », explique Finn Myrstad, directeur de la politique numérique au Norwegian Consumer Council.

« Chaque fois que vous ouvrez une application comme Grindr, les réseaux publicitaires obtiennent votre position GPS, les identifiants des appareils et même le fait que vous utilisez une application de rencontres gay. Il s’agit d’une violation insensée du droit des utilisateurs à la vie privée de l’UE », a déclaré Max Schrems, fondateur de la société européenne à but non lucratif noyb.

L’enquête documente deux problèmes de taille. Le premier a trait à la masse colossale d’informations que récoltent les applications, sans consentement explicite ou implicite, et surtout sans aucune raison valable. Le second est lié au commerce de ces données par ces «entreprises de l’ombre», des agrégateurs d’informations inconnus du grand public qui créent ainsi des profils précis dont raffolent les annonceurs.

L’étude s’est principalement intéressée à dix applications, dont par exemple Tinder. Téléchargée plus de 100 millions de fois, il s’agit de l’une des applications de rencontre les plus populaires. Tinder appartient à la société de Los Angeles Match Group. Selon l’étude, un utilisateur de Tinder risque de voir ses données partagées avec les… 45 autres applications et services de ce groupe. C’est a priori illégal au vu du Règlement général sur la protection des données (RGPD), d’autant que le consentement explicite du consommateur n’est pas demandé. De plus, l’enquête a démontré que Tinder envoie les coordonnées GPS de l’utilisateur à des revendeurs de données tels AppsFlyer (qui affirme avoir des données sur… 8,4 milliards d’appareils) et Leanplum. Quant au profil publicitaire du consommateur (Advertising ID), il est récolté par AppsFlyer, Branch, Facebook et Salesforce.

Trois plaintes déposées auprès de l’autorité de protection des données compétente

Le Norwegian Consumer Council a déposé trois plaintes officielles contre l’application de rencontres gay / bi Grindr et cinq sociétés adtech qui recevaient des données personnelles via l’application: Twitter MoPub, AT&T AppNexus, OpenX, AdColony et Smaato. Toutes les plaintes ont été déposées, en coopération avec noyb, auprès de l’Autorité norvégienne de protection des données (DPA) en raison de violations du règlement général sur la protection des données (RGPD).

Alors que les plaintes norvégiennes concernent un utilisateur Android norvégien, noyb déposera des plaintes similaires auprès de la DPA autrichienne concernant un utilisateur iOS autrichien dans les semaines à venir.

De nombreux acteurs de l’industrie adtech collectent des informations sur les utilisateurs depuis divers endroits , parmi lesquels la navigation sur le Web, les appareils connectés et les médias sociaux. Combinées, ces données fournissent une image détaillée des individus, révélant leur vie quotidienne, leurs désirs secrets et leurs moments les plus vulnérables.

Ala Krinickytė, avocate à noyb a déclaré : « dans le cas de Grindr, il semble particulièrement problématique que les tiers n’obtiennent pas seulement la position GPS ou les identifiants de l’appareil, mais également les informations selon lesquelles une personne utilise une application de rencontres décrite comme étant “exclusivement pour la communauté gay / bi”. Cela révèle évidemment l’orientation sexuelle de l’utilisateur ».

Le Conseil norvégien des consommateurs a exhorté les entreprises qui s’appuient sur la publicité numérique à rechercher des solutions alternatives au système adtech actuellement dominant, telles que les technologies qui ne reposent pas sur une diffusion généralisée et la collecte de données personnelles. « La situation est complètement hors de contrôle. Afin de déplacer le déséquilibre de pouvoir significatif entre les consommateurs et les sociétés tierces, les pratiques actuelles de suivi et de profilage extensifs doivent cesser », explique Myrstad.

Pour les auteurs de l’étude, il y a très peu de mesures que les consommateurs peuvent prendre pour limiter ou empêcher le suivi massif et le partage de données qui se produisent partout sur Internet. Les autorités doivent prendre des mesures coercitives actives pour protéger les consommateurs contre l’exploitation illégale des données personnelles.