Ces très populaires applis qui transmettaient vos données à Facebook sans vous en avertir

Une enquête du Wall Street Journal a dévoilé, vendredi 22 février, qu’une dizaine d’applications grand public avaient envoyé des données collectées sur ses utilisateurs à Facebook, ceci sans que ces derniers n’en soient avertis. Le phénomène n’est pas une nouveauté en soi : plusieurs chercheurs ont déjà démontré par le passé que des applications qui n’appartiennent pas à Facebook envoyaient tout de même des données personnelles au réseau social.

Mais l’article du quotidien américain donne de nouveaux exemples concrets d’applications concernées. En tout, sur les soixante-dix applications pour iOS et Android testées par le Wall Street Journal, onze ont concrètement envoyé des données aux serveurs de Facebook pendant leur fonctionnement, même si elles n’ont rien à voir avec le réseau social.

En voici la liste :

• Flo Period & Ovulation Tracker (« Flo : date de règles » en France)
• Weight Loss Fitness by Verv (« Perte de poids Fitness by Verv » en France)
• Lose It ! (« Lose It ! Compteur de calorie » en France)
• GetFit : Home Fitness & Workout (« GetFit : Fitness à la maison » en France)
• Instant Heart Rate : HR Monitor (« Fréquence Cardiaque » en France)
• Breethe : Sleep & Meditation (« Breethe - Médiation & Sommeil » en France)
• Trulia Real Estate : Find Homes (même nom en France)
• BetterMe : Weight Loss Workouts (même nom en France)
• BetterMen : Fitness Trainer (inaccessible en France)
• Realtor.com Real Estate Search (inaccessible en France)
• Glucose Buddy (inaccessible en France)

Parmi ces applications, huit étaient accessibles en France sur l’App Store, selon nos constatations lundi 25 février.

Un module d’analyse marketing

Ces applications, téléchargées des millions de fois dans certains cas, sont de nature à avoir récolté des informations très privées sur des utilisateurs. Elles permettent, entre autres, de pouvoir établir son calendrier de menstruations (« Flo : date de règles »), de rechercher un appartement (« Trulia Real Estate »), de méditer (« Breethe ») ou de suivre un programme d’entraînement sportif (« GetFit : Fitness à la maison »).

Depuis les révélations du quotidien américain le 22 février, plusieurs éditeurs de ces applications ont décidé de suspendre l’envoi de certaines données à Facebook. Parmi elles : « Flo : date de règles » et « Fréquence cardiaque ». D’autres n’ont, en revanche, pas réagi, ni indiqué qu’elles cessaient d’envoyer des données collectées.

Pour chacune de ces onze applications, le Wall Street Journal a détaillé, dans un article dédié, quelles étaient les informations envoyées à Facebook (adresse e-mail, code postal, interactions avec certaines pages, favoris, poids…). Les informations envoyées ne concernaient pas forcément des utilisateurs qui ont un profil Facebook. Et il n’était pas nécessaire qu’un utilisateur de Facebook soit connecté à Facebook au sein de l’application pour que le réseau social récolte des informations, explique le Wall Street Journal.

Les données trop sensibles sont effacées selon Facebook

Pourquoi, dans ce contexte, Facebook a-t-il pu, malgré tout, collecter des données personnelles ? Ceci grâce à une couche logicielle fournie gracieusement par Facebook, nommée « App Event » et qui permet, entre autres, d’obtenir des analyses sur l’activité des utilisateurs d’applications. N’importe quel développeur peut décider d’intégrer des modules « App Event » dans son service mobile : cela leur sert à mieux cerner l’audience et le comportement de leurs utilisateurs. En retour, Facebook promet aux développeurs de pouvoir les aider à diffuser des publicités ciblées au sein de leur application, ou de leur fournir des données utiles pour de l’analyse marketing.

« Partager des informations via des applications sur votre iPhone ou votre appareil Android correspond à la façon dont fonctionne la publicité mobile et c’est une pratique habituelle dans ce secteur », a justifié une porte-parole de Facebook interrogée par l’Agence France-Presse après publication de l’enquête du Wall Street Journal.

Elle a également assuré que Facebook disposait de garde-fous pour contrôler les informations récoltées et effaçait les informations trop sensibles que Facebook pouvait recevoir par erreur de la part des applications. « Chez Facebook, nous exigeons des développeurs qu’ils soient transparents avec leurs utilisateurs à propos des informations qu’ils partagent avec nous et nous leur interdisons de nous envoyer des données sensibles », a-t-elle expliqué.

Conditions d’utilisation peu claires

L’enjeu, pour Facebook, est de taille, après une année 2018 marquée par des scandales sur l’utilisation des données personnelles des utilisateurs du réseau social : les pratiques de Facebook sont désormais scrutées par les régulateurs et les autorités du monde entier. Après publication de l’enquête du Wall Street Journal, le gouverneur de New York, Andrew Cuomo, a ainsi appelé à l’ouverture d’une enquête fédérale sur le sujet, dénonçant une « atteinte scandaleuse à la vie privée ».

L’un des aspects essentiels de l’affaire concerne, en effet, le consentement des utilisateurs. Or, selon le site d’information The Verge, les conditions d’utilisation des onze applications épinglées n’indiquaient pas clairement que des données collectées pouvaient être envoyées à Facebook.

C’était le cas de « Flo : date de règles », dont une utilisatrice a assuré au Wall Street Journal qu’elle avait lu les conditions d’utilisation pour être certaine que les informations sur son cycle menstruel n’allaient pas être transmises à des entreprises comme Facebook. Interrogée par le quotidien américain, l’entreprise Flo Health a assuré que les données « critiques » de ses utilisateurs n’étaient pas transmises à Facebook, et que les autres l’étaient de manière à conserver l’anonymat.

Un exemple qui illustre les difficultés à savoir concrètement, pour des utilisateurs d’applications mobiles, à quel point Facebook est imbriqué dans nos systèmes mobiles, et peut recevoir des données sur nos activités en ligne. De manière générale, les modules App Events de Facebook sont présents dans des « milliers d’applications » sur l’Apple Store et le Play Store d’Android, note le Wall Street Journal. Ce qui rend complexe l’appréhension réelle du volume de données mobiles potentiellement reçues à chaque instant par Facebook et de leurs finalités.