Il ne se passe une semaine sans que l’on accuse les smartphones d’indiscrétions. On se souvient tout récemment de l’iPhone, bien entendu, dont la version 4 d’iOS conservait trace des déplacement de son utilisateur à l’insu de ce dernier. Mais l’on a appris depuis que les Windows Phone font de même.

Et il y a mieux : le Wall Street Journal publiait l’an dernier une excellente étude des pratiques de 101 applications iPhone et Android. L’on y apprend qu’une majorité d’applications transmettent systématiquement l’identifiant unique de l’appareil à une ou plusieurs régies publicitaires et que certaines vont même jusqu’à accéder aux contacts du carnet d’adresses sans l’autorisation de son propriétaire (Angry Birds, par exemple).

L’identifiant de l’appareil, contrairement à un cookie que l’on peut effacer, est persistant : l’appareil (et donc probablement son propriétaire initial) demeurent liés pour la durée de vie du matériel. C’est bien entendu cet aspect qui intéresse le plus les régies publicitaires mobiles : elles sont alors capables de mieux profiler les utilisateurs en fonction des applications qu’ils téléchargent (et du temps qu’ils passent dessus !).

Nombre d’applications demandent en outre des informations démographiques (âge, sexe) qui viennent enrichir le profil de l’utilisateur. Et ces données, consolidées par la régie grâce à l’identifiant de l’appareil, ne sont bien sûr pas exploitées uniquement par l’application qui les a demandées. Il suffit ainsi par exemple que deux applications totalement distinctes partagent la même régie publicitaire pour que les informations collectées par l’une soit utilisées pour afficher de la publicité dans l’autre.

En outre près de la moitié des éditeurs d’applications testées n’ont aucune politique de confidentialité clairement affichée sur leur site. Et probablement d’ailleurs aucune envie d’en avoir une.

L’accès au carnet d’adresse pose un problème particulier aux entreprises qui souhaiteraient autoriser les smartphones à leurs collaborateurs. Un carnet d’adresse professionnel peut parfaitement contenir des informations confidentielles, qui se retrouvent de fait livrées à plusieurs régies publicitaires sans plus de cérémonie.

Des solutions tierces existent bien entendu pour compartimenter les données professionnelles des données privées au sein des smartphones, voire interdire l’installation d’applications non approuvées (mais à quoi peut servir un iPhone ou un Android sans application amusante ? Et sera-t-il vraiment possible de n’installer que des logiciels qui ne communiquent pas avec des régies publicitaires gourmandes ?). N’hésitez pas à apporter votre témoignage si vous avez mené un tel projet ! (lire à ce sujet le résumé de notre petit-déjeuner consacré à la sécurisation d’une flotte de smartphones)

A défaut d’utiliser une solution tierce, faudra-t-il alors se faire une raison et considérer que si l’on choisi d’utiliser un smartphone, ses données personnelles ne peuvent pas être protégées ? Si cela peut être acceptable pour un particulier, les entreprises ne le toléreront probablement pas. Et pourtant, les smartphones et autres tablettes (qui reposent sur les mêmes systèmes d’exploitation) semblent devenir très populaires en entreprise. A croire que ces dernières n’ont pas encore franchement étudié de près ces nouveaux engins…