© epa

Des dizaines d'applications partagent tes données à Facebook, sans ton consentement et même si tu n'as pas de compte

31 décembre 2018

Selon une récente étude de l'ONG Privacy International, 3 applications sur 5 qui utilisent les kits de développement de Facebook (SDK) envoient les données de leurs utilisateurs au réseau social de Mark Zuckerberg. Le tout sans te prévenir et même si tu ne dispose pas de compte Facebook. Oui, c'est possible. 

La manière dont Facebook gère les données personnelles des utilisateurs a déjà été largement remise en question notamment lors du scandale de Cambridge Analytica au début de l'année. En cette fin d'année 2018, l'ONG Privacy International vient en remettre une couche.

Cette ONG soucieuse de la protection de la vie privée des citoyens du monde, a mené des recherches sur 34 applications Android qui intègrent les SDK (kits de développement) de Facebook. Les résultats sont plutôt éloquents: 61% des applications étudiées partagent automatiquement les données de leurs utilisateurs avec Facebook. Et attention, on parle ici d'applications qui comptent entre 10 et 500 millions de téléchargements.

Des informations extrêmement détaillées

Frederike Kaltheuner et Christopher Weatherhead, deux hommes derrière cette étude, expliquent que les données partagées avec Facebook sont "incroyablement détaillées" mais assurent d'autre part qu'ils ne savent pas comment Facebook les utilise. Par exemple, l'application Kayak envoie au réseau social les recherches effectuées et les informations sur les prestations achetées.

Plus globalement, les applications envoient des données techniques comme le nom de l'appli lancée, des informations concernant le téléphone utilisé, de la langue sélectionnée etc. Ainsi Facebook peut créer un profil relativement détaillé des utilisateurs. Et figure-toi que cette pratique est absolument légale même si on ne demande à aucun moment le consentement de l'utilisateur. Et d'ailleurs, les applications partagent toutes ces données même si un utilisateur ne dispose pas de compte Facebook.

Par contre, l'étude montre également que certaines applications font parvenir à Facebook l'identifiant publicitaire. Il s'agit d'une sorte de référence attribuée à chaque utilisateur de terminal Android. Cette référence permet "de lier les données issues d’applications différentes et de navigation Web dans un seul et unique profil". De cette manière, il est beaucoup plus simple de toucher les personnes avec des pubs personnalisées.

Les éditeurs d'applications responsables?

Mais qui est responsable dans cette histoire? Les éditeurs des applications ou Facebook lui-même? Dans un mail adressé à l'ONG Privacy International, Facebook indique ce sont bien les éditeurs des applications qui sont responsables puisqu'ils disposent d'une valve leur permettant de transférer ou pas les données au réseau social. Mais selon l'ONG, tout cela est inefficace.

En effet, les éditeurs sont tout simplement incapables d'empêcher les SDK de récupérer les données des utilisateurs. Peu après l'entrée en vigueur des RGPD le 25 mai dernier, Facebook a ajouté une option qui permet aux éditeurs de demander le consentement de leurs utilisateurs. Mais cela n'est possible que sur les toutes dernières versions des SDK.

Quoi qu'il en soit, voici la conclusion de l'ONG sur toute cette histoire: "Sans plus de transparence de la part de Facebook, il est impossible de savoir avec certitude comment les données que nous avons décrites dans ce rapport sont utilisées. C’est particulièrement vrai dans la mesure où Facebook n’a pas fait preuve de transparence quant à la manière dont il utilisait les données des utilisateurs non Facebook dans le passé."

Déjà lu?

Déjà lu?