Le ratissage pour la protection de la vie privée portant sur les applications mobiles effectué l’automne dernier sous l’égide du Global Privacy Enforcement Network (GPEN) continue d’avoir des retombées positives pour les consommateurs en 2015.
Vous vous rappelez peut-être que le Commissariat à la protection de la vie privée du Canada a coordonné une évaluation des énoncés concernant la protection de la vie privée dans 1 211 applications mobiles populaires de concert avec 25 partenaires nationaux et internationaux chargés de l’application des lois dans le domaine. Pour sa part, notre organisme a évalué 151 applications.
À l’échelle mondiale, les ratisseurs ont constaté que 85 % des applications examinées n’expliquaient pas clairement comment elles s’y prendraient pour recueillir, utiliser et communiquer les renseignements personnels.
Le Commissariat a décidé de faire part de ses préoccupations aux concepteurs des applications examinées dans le cadre du ratissage – tant de grandes sociétés que des génies en informatique exploitant une toute petite entreprise à partir de leur sous-sol.
Outre les concepteurs des applications « dés‑APP‑ointantes » et « décour-APP-geantes » auxquels nous avions écrit l’automne dernier avant de les nommer dans un message affiché sur notre blogue, nous avons adressé à des dizaines d’autres concepteurs des lettres faisant état de nos préoccupations à l’égard de la protection de la vie privée.
Nos préoccupations se rapportaient à des problèmes variés : parfois, il était impossible de trouver la politique de confidentialité avant le téléchargement de l’application sur le marché virtuel ou sur le site Web du concepteur; parfois, la politique était affichée, mais on ne pouvait pas la lire parce qu’elle n’était pas adaptée à l’affichage sur un petit écran, certains mots étaient coupés et il fallait grossir l’image ou faire défiler le texte à l’horizontale.
Dans d’autres cas, nous avons exprimé des préoccupations du fait qu’aucun énoncé concernant la protection de la vie privée n’était intégré aux applications ou que la soi-disant politique de confidentialité n’abordait pas en réalité des questions essentielles comme les pratiques de l’application concernant la collecte, l’utilisation et la communication de renseignements personnels.
Nous avons maintenant reçu une réponse des concepteurs de 31 applications examinées dans le cadre du ratissage. La grande majorité d’entre eux nous ont remerciés de nos commentaires et se sont engagés à améliorer leurs énoncés concernant la protection de la vie privée.
Par exemple, seulement 34 minutes après avoir reçu notre lettre par courriel, le concepteur d’une application du secteur de la santé a ajouté une politique de confidentialité sur son site Web. Un autre concepteur d’Europe du Nord comptant 14 applications nous a remerciés de notre lettre. Il s’est engagé à faire des énoncés concernant la protection de la vie privée une priorité immédiate et veille désormais à intégrer dans la description de chaque application sur le marché virtuel un lien menant à sa politique de confidentialité. Nous avons également reçu des commentaires positifs d’un géant mondial du secteur des jeux en ligne ainsi que des responsables de l’une des principales applications de réseautage social.
D’autres concepteurs ont indiqué qu’ils avaient l’intention d’améliorer les énoncés concernant la protection de la vie privée dans les futures versions de leur application, de réparer les liens défectueux qui étaient censés mener à leur politique de confidentialité ou de faire le suivi auprès de notre organisme après avoir mis en œuvre les modifications proposées. Les concepteurs de plusieurs applications de nouvelles canadiennes se sont engagés à apporter des modifications d’ordre général, par exemple mettre davantage en évidence les liens menant à leur politique de confidentialité ou mieux les adapter à un écran de petite taille.
Les ratisseurs ont été particulièrement impressionnés par la réponse de Zynga Inc, concepteur du jeu populaire Farmville 2: Country Escape. Cette entreprise a réparé les liens défectueux et s’est engagée à ne pas solliciter dans les futures versions du jeu une autorisation qui n’est plus nécessaire. Elle a également affiché dans un format adapté à un écran de petite taille un avis de confidentialité résumant sa politique en la matière. Mais Zynga ne s’est pas limitée à prendre ces mesures pour répondre à nos préoccupations concernant Farmville. Le concepteur, qui compte plus de 70 applications, s’assure désormais que l’avis de confidentialité est accessible sur le marché virtuel pour toutes ses applications. Bravo!
En fait, nos efforts de sensibilisation ont permis d’améliorer les énoncés et les pratiques concernant la protection de la vie privée dans environ 136 applications.
D’après la réaction extrêmement positive aux lettres faisant état de nos préoccupations, nous estimons que de nombreux concepteurs d’applications souhaitent protéger la vie privée de leurs clients et qu’ils n’étaient tout simplement pas au courant des lacunes de leurs pratiques.
Les commentaires reçus montrent que l’éducation et la sensibilisation permettent souvent de faire changer les choses sans qu’il soit nécessaire de mener des enquêtes officielles longues et coûteuses. À notre avis, cette réaction témoigne du succès de l’initiative du ratissage annuel pour la protection de la vie privée.
Malgré de nombreux efforts, nous n’avons malheureusement pas pu joindre les concepteurs de six applications. Nous avons donc décidé de nommer ces applications ici dans l’espoir que leurs concepteurs pourront prendre connaissance de nos commentaires et apporter des améliorations au bénéfice de leurs clients. Pour commencer, ils pourraient fournir des coordonnées adéquates.
Voici ce que nous avons constaté.
Emoji Keyboard 2: Animated Emojis de Shishi Li
Cette application permet aux utilisateurs d’ajouter des emojis à leurs messages texte. D’après les ratisseurs, les utilisateurs n’ont accès à aucun énoncé concernant la protection de la vie privée ni avant ni après le téléchargement de l’application. Le site Web du responsable du traitement des données n’était guère plus qu’un lien menant à une page Facebook au nom de « John Smith ». D’après les ratisseurs, l’application semble accéder à des fonctions de Facebook, de Twitter, de courriel et de messages texte, mais sans solliciter la moindre autorisation. Elle demande aussi aux utilisateurs d’ouvrir une session dans les médias sociaux, mais on ne peut établir clairement si des renseignements personnels sont recueillis.
Hide N Seek: Mini Game with Worldwide Multiplayer de Wang Wei (FingerLegend)
Cette application est un jeu de cache-cache en dessin animé. D’après les ratisseurs, on n’y trouve aucune politique de confidentialité et le site Web du concepteur est un compte Twitter inutilisé. L’application n’explique pas non plus pourquoi elle demande à avoir accès aux photos des utilisateurs.
Smashy Birds With Blood de Bitcage Europe, Ltd.
Mis à part le nom intéressant (!) de cette application de jeu, les ratisseurs ont exprimé des préoccupations du fait qu’aucune politique de confidentialité n’est affichée ni avant ni après le téléchargement. Le site Web du concepteur, bitcage.com, est un gabarit vierge. Les ratisseurs s’inquiètent du fait que le concepteur offre sept autres applications sur le marché virtuel. On ne sait pas avec certitude si toutes les applications recueillent des renseignements personnels, mais certaines semblent accéder au compte Instagram ou Facebook, au calendrier et aux contacts de l’utilisateur. Les ratisseurs ont constaté avec déception que le site Web de Bitcage ne renferme pas même l’information la plus élémentaire, encore moins une politique de confidentialité indiquant si les renseignements personnels sont recueillis, utilisés et communiqués et, le cas échéant, comment on s’y prendrait. En fait, nos ratisseurs ont reçu un message d’erreur après avoir cliqué sur la partie du site Web où la politique de confidentialité était censée être affichée.
Cette application est un jeu de réflexion. Les ratisseurs n’ont pu trouver aucun énoncé concernant la protection de la vie privée ni avant ni après le téléchargement. Le site Web du concepteur est une page Facebook qui ne donne pas la moindre information sur la protection de la vie privée. Les ratisseurs ont exprimé des préoccupations parce que le concepteur offre 10 applications similaires dans le magasin virtuel Google Play. Certaines applications semblent recueillir et communiquer des renseignements, entre autres le lieu où se trouve l’utilisateur. Certaines demandent aussi à avoir accès aux dispositifs de stockage externe, qui pourraient renfermer les photos et les vidéos de l’utilisateur ainsi que d’autres données. D’après les ratisseurs, MobiGrow devrait afficher une politique de confidentialité appropriée expliquant quels renseignements personnels sont recueillis et comment ils sont utilisés et communiqués. Même si les applications ne recueillent pas de renseignements personnels, ce que nos ratisseurs n’ont pu établir puisqu’il n’y avait aucun énoncé concernant la protection de la vie privée, se doter d’une politique de confidentialité demeure une meilleure pratique.
Belly Fat Workout FREE: 10 Minute Ab Exercises de Pro Code Media
Cette application de conditionnement physique propose aux utilisateurs une série d’exercices variés. Les ratisseurs ont été incapables de trouver le moindre énoncé expliquant les pratiques de protection de la vie privée avant ou après le téléchargement de l’application. La description de l’application sur le marché virtuel ne donne aucune indication. Il n’y avait au départ aucune indication non plus sur le site Web du concepteur, mais on a trouvé ultérieurement un semblant de politique de confidentialité. Elle était rédigée en latin et n’avait rien à voir avec la protection de la vie privée, si bien que nos ratisseurs en ont perdu . . . leur latin! Une soi-disant politique de confidentialité semble maintenant affichée sur le site Web appandaway.com, qui est indiqué comme étant le fournisseur de l’application sur le marché virtuel. Toutefois, cette politique ne donne aucune information sur le consentement à la collecte, à l’utilisation ou à la communication de renseignements personnels.
2048 de Estoty Entertainment Lab
Cette application est un jeu de mathématique très accrocheur qui, d’après le concepteur, a été téléchargé plus de 35 millions de fois. Nos ratisseurs n’ont trouvé aucun énoncé concernant la protection de la vie privée sur le marché virtuel, sur le site Web du concepteur ou dans l’application proprement dite. Les ratisseurs n’ont donc pas été en mesure de savoir si des renseignements personnels étaient recueillis et, le cas échéant, comment ils seraient utilisés et communiqués. Ce concepteur offre d’autres applications sur le marché virtuel, dont au moins une semble accéder à Facebook. D’après les ratisseurs, Estoty Entertainment devrait indiquer clairement ses pratiques de traitement des renseignements personnels.
Mise à jour
Il y a huit mois que nous avons exprimé publiquement nos préoccupations à l’égard de quatre applications en raison de leur performance « dés‑APP‑ointante » ou même « décour-APP-geantes » en ce qui a trait aux énoncés concernant la protection de la vie privée.
Nous sommes heureux de signaler que l’application Super Bright LED Flashlight, jugée « décour-APP-geantes » par nos ratisseurs, sollicite maintenant moins d’autorisations et ne demande plus à avoir accès aux photos, aux médias et aux dossiers ni à l’information sur l’identité et les appels. De plus, le concepteur a ajouté un lien menant à sa politique de confidentialité dans la description de l’application affichée dans le marché virtuel Google Play.
Note à l’intention des concepteurs : Lisez notre Fiche d’Information pour faire connaître vos pratiques en matière de protection de la vie privée aux utilisateurs de votre application.