/misc
Navigation

Recherché : application avec informations claires

Le grand nombre d’autorisations demandées (sans explication) par l’application LED Lampe Super-Brillante

Coup d'oeil sur cet article

Seulement 15 % des applications les plus populaires informent correctement leurs usagers sur les productions et utilisations d’informations personnelles (GPS, photo, audio, textes, contacts, etc.). 23 autorités de 17 pays demandent aux boutiques d’applications d’y remédier.

Cette semaine, 23 membres du Global Privacy Enforcement Network (GPEN – un réseau d’autorités nationales et infranationales en protection des renseignements personnels) ont écrit aux boutiques d’applications (stores) d’Amazon, Apple, BlackBerry, Google, Microsoft, Nokia et Samsung. En fait, il s’agit d’une lettre ouverte s’adressant à toutes les boutiques d’applications, et indirectement à tous les développeurs d’applications et de systèmes d’exploitation mobiles de la planète.

Un coup de semonce de la part de ce réseau qui peut coordonner la réalisation d’enquêtes ou d’actions répressives simultanées à travers plusieurs pays. Mais un avertissement fondé sur une étude critiquable.

Ces autorités demandent aux exploitants de ces boutiques en ligne d’imposer des conditions à l’hébergement d’applications susceptibles de recueillir des informations personnelles. Pour être acceptées par ces boutiques, ces applications devraient offrir aux usagers des informations claires et en temps opportun sur leurs maniements d’informations personnelles et sur leur « politique de confidentialité ».

Si cet appel est adressé aux boutiques en ligne, il interpelle aussi les développeurs de systèmes d’exploitation pour appareils mobiles et les développeurs d’applications. Tous les acteurs de l’écosystème d’applications mobiles doivent mettre en place les mesures assurant la transparence des utilisations d’informations personnelles. Cela afin de permettre aux usagers de consentir et contrôler ces utilisations de manière éclairée.

Parmi les signataires, on retrouve le commissaire à la protection de la vie privée du Canada, le commissaire à l’information et à la protection de la vie privée de l’Alberta et le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique. Notre Commission d’accès à l’information du Québec ne fait pas partie du GPEN.

Informations déficientes

En mai dernier, les membres du GPEN ont testé 1 211 applications parmi les plus populaires dans le monde. Cette opération visait à établir dans quelles mesures leurs usagers étaient correctement informés de la production, la collecte, la communication et l’utilisation d’informations personnelles ainsi que sur la « politique de confidentialité » s’y appliquant.

Les résultats sont décevants, même si non surprenants. Seulement 15 % des applications évalués donnaient des explications suffisamment claires pour que le testeur puisse se déclarer confiant de sa connaissance des maniements d’informations personnelles impliqués.

Pourtant, trois applications sur quatre (75 %) demandent l’accès aux informations de :

Localisation (cellulaire, GPS, wifi, etc.)

32 %

Contacts de l’usager

9 %

Agenda de l’usager

2 %

Microphone de l’appareil

5 %

Appareil photo de l’appareil

10 %

Code d’identification de l’appareil

16 %

Accès à d’autres comptes

15 %

Messages textes

4 %

Registres des appels téléphoniques

7 %

30 % de l’ensemble des applications n’offrait aucune déclaration autre que les demandes d’autorisation d’accès.

Les déclarations d’un autre 24 % ne permettaient pas au testeur de savoir comment les informations personnelles seront recueillies, utilisées ou communiquées. Et les déclarations d’un dernier 31 % donnaient des indications, mais insuffisantes.

Exemple d’application consternante

L’une des applications les plus populaires sur le site Google Play est LED Lampe Super-Brillante. Cette application gratuite permet de se servir de son appareil Android comme lampe de poche.

Or, LED Lampe Super-Brillante « demandait l’autorisation d’avoir accès à l’appareil photo/micro, à l’identifiant de l’appareil et aux données d’appels et même aux photos/contenus multimédias/fichiers de l’utilisateur. Mis à part la fonction flash de l’appareil photo, les ratisseurs ont été incapables de déterminer avec exactitude pourquoi l’application avait besoin de tous ces renseignements pour faire fonctionner une lampe de poche. »

Étude critiquable

Malheureusement, le GPEN n’a pas publié de rapport détaillé sur sa méthode de ratissage, les données recueillies et ses résultats. De plus, le GPEN reconnait que les organisations membres peuvent « avoir adopté des points de vue différents lors de leurs évaluations. » Apparemment, il n’y avait aucun critère vérifiable et uniforme pour établir le caractère clair et complet des informations sur les applications testées.

La représentante du Commissariat à la vie privée du Canada, Valerie Layton, nous a donné quelques indications sur comment son organisation a testé 151 de ces applications. On a fait appel à des employés volontaires « provenant de tous les secteurs de l’organisation. Aucun "ratisseur" n’était un expert technique hautement spécialisé parce que nous voulions recréer l’expérience d’un utilisateur moyen. » Madame Layton n’a cependant pas précisé quel était le niveau de familiarité de ces employés avec les questions liées aux maniements d’informations personnelles (certainement plus élevé que celui la moyenne des citoyens canadiens).

Sur les 151 applications testées par le Commissariat fédéral, il n’y en avait en français que... neuf (9). Difficile de déterminer si c’est suffisant sans connaitre les nombres d’autres applications en français testés par les Français et les Belges. Ou en chinois, espagnol, allemand, italien et autres langues par d’autres autorités ailleurs. Apparemment, le ratissage du GPEN ne vérifiait pas si les informations testées étaient une traduction ou une version originelle dans une langue habituelle de travail du développeur d’application. Ni ne comparait le cas de la traduction au cas du texte originel. C’est pourtant un point capital puisqu’on sait que la qualité des traductions est très variable. De nombreux développeurs utilisent des traductions non professionnelles, ou même produites par des services de traduction automatique comme Google Traduction (avec les résultats souvent lamentables qu’on connait).

Le GPEN n’aurait pas non plus vérifié l’accessibilité des informations et la facilité à les comprendre pour les usagers qui ne maitrisent pas la langue de l’application (souvent l’anglais); ou pour les enfants; ou pour ceusses qui sont analphabètes ou ayant des difficultés de lecture; ou ceusses ayant un handicap visuel, auditif, moteur, cognitif ou lié au vieillissement. Pourtant, ensemble, ces populations représentent une nette majorité des usagers d’applications sur la planète et au Canada.

Facile à comprendre par qui?

La lecture de la documentation sur ce ratissage des applications et mes échanges à ce sujet avec le personnel du Commissariat à la protection de la vie privée du Canada me font douter. J’ai l’impression que cet appel à la transparence des membres du GPEN est plus symbolique que réel.

Disons-le crument, lorsque le Commissariat fédéral et ses homologues du GPEN parlent de transparence, cela m’apparait être bien plus au profit de leurs fonctionnaires que de vous et moi, les citoyens dont ils prétendent protéger les droits. Ce n’est pas délibéré. Mais le résultat est bien celui-là.

J’en veux pour preuve les critères de tests retenus et l’identité des testeurs du ratissage. Selon les indications obtenues, il s’agissait de fonctionnaires œuvrant dans des organismes de protection des renseignements personnels, pas d’individus représentatifs des différents types d’usagers d’applications. Je suis à peu près certain que pas un seul adolescent ne faisait partie des testeurs du GPEN. Pourtant ces jeunes – et encore plus jeunes – forment une très grosse part des usagers d’applications sur téléphones, tablettes, consoles et ordinateurs. Et combien de ces testeurs étaient analphabètes ou à faibles capacités de lecture? Ou avec handicap?

J’en veux aussi pour preuve des travaux antérieurs de ces autorités. Telles, ces félicitations à Facebook parce qu’il « fournit aux membres des renseignements plus clairs et plus compréhensibles au sujet de diverses pratiques de gestion des renseignements personnels ». Oui, en 2012 on pouvait noter une nette amélioration par rapport à la situation en 2009. Cependant, les pratiques de Facebook demeurent, encore aujourd’hui, largement opaques. Tout particulièrement, ses activités de profilage de ses usagers et son contrôle des contenus affichés. Et quelle est la proportion des usagers qui peuvent comprendre même les « renseignements plus clairs » désormais?

Obstacles à la transparence

Une conversation que j’ai eue avec un développeur canadien d’application est révélatrice. Il m’a dit avoir dépensé des centaines de milliers de dollars pour développer une application conviviale, facile à comprendre et à utiliser. Sauf qu’il a aussi avoué avoir échoué à offrir un texte aussi simple et clair sur les conditions d’utilisation de son application.

La firme d’avocats engagée refusait de proposer un texte compréhensible par un non-juriste. Le développeur a demandé si on pouvait au moins produire un résumé compréhensible du texte des conditions d’utilisations. Ces avocats, frileux, ont aussi refusé de produire un tel résumé.

Beaucoup de textes décrivant les conditions d’utilisation et les maniements d’informations personnelles sont précisément des... textes. Trop longs. Trop difficiles à déchiffrer. Rebutants. Ils ne sont jamais lus par l’écrasante majorité des usagers.

Dans le cas des avocats des développeurs d’application, la plupart d’entre eux n’abandonneront leurs jargons que si les autorités chargées de l’application des lois protégeant les usagers les y obligent. Et encore, les y obligent avec des critères précis de résultats vérifiables auprès de groupes d’usagers réels.

Virage transparence

Seulement 15 % des applications les plus populaires informeraient correctement les fonctionnaires du GPEN sur les productions et utilisations d’informations personnelles. Mais combien de ces applications populaires réussissent à informer correctement l’ensemble de leurs usagers ordinaires? Probablement moins. Beaucoup, beaucoup moins.

Pourtant, nous disposons aujourd’hui de connaissances et d’expertises considérables en matière de communication claire et simple ainsi qu’en matière d’expérience utilisateur. Elles sont déjà fortement employées dans la conception d’applications informatiques. Il faut simplement qu’on mette aussi ces connaissances et expertises à profit pour expliquer ces applications elles-mêmes et, en particulier, ce que ces applications font avec nos informations.

Cela serait déjà un grand pas en avant si les autorités qui prêchent pour la transparence commençaient par s’y mettre elles-mêmes.