Connaissez-vous Álvaro Feal ? La Cnil, elle, a bien identifié ce doctorant à l’IMDEA (Institut madrilène d’études avancées). Le 28 juin dernier, lors de son Privacy Research Day, elle l’a convié à un panel « Smartphones et applications ». Quelques semaines avant, elle avait décerné un prix à un article dont l’intéressé est coauteur.
L’article en question fut présenté en 2019 dans le cadre du 28e symposium USENIX. Son intitulé : « 50 Ways to Leak Your Data: An Exploration of Apps ». Son sujet : les OS mobiles, leurs systèmes d’autorisations… et leur contournement par les applications mobiles.
Pour cet article, Álvaro Feal et cinq pairs ont reçu le prix Cnil-Inria 2021. L’autorité en fait mention dans le « plan d’action spécial apps mobiles » qu’elle vient d’annoncer. Elle cite aussi le Privacy Research Day, au cours duquel Álvaro Feal a présenté un autre article : « Don’t Accept Candy from Strangers, an Analysis of Third-Party Mobile SDKs », abordant la question des kits de développement tiers.
Que projette la Cnil avec son plan d’action ? Dans les grandes lignes, l’autorité entend faire pour les applications mobiles ce qu’elle a fait pour les sites web. En l’état, observe-t-elle notamment :
– Les informations sur l’existence de collecte de données et sur les raisons de leur collecte sont souvent peu claires
– Les utilisateurs peuvent avoir du mal à comprendre la nature des autorisations demandées
– Les smartphones embarquent de nombreux capteurs qui donnent accès à des données dont la collecte peut se révéler très intrusive
Trois grands constats… et autant d’étapes sur la feuille de route. Nommément, la veille, l’accompagnement, puis les contrôles et les éventuelles sanctions.
Sur la partie veille, hormis le Privacy Research Day et le prix décerné avec Inria, la Cnil rappelle une étude que son laboratoire d’innovation a engagée en juin dernier, pour 15 mois.
À la base de cette étude, il y a un jeu de données de géolocalisation obtenues sous forme d’« échantillon gratuit », sur une plate-forme, auprès d’un courtier de données. Présentées comme anonymisées, elles sont horodatées – couvrant une période d’environ une semaine en mai 2021 – et associées à des millions d’identifiants publicitaires de smartphones (iOS, Android).
La Cnil va effectuer un travail de réidentification sur les quelque 850 000 identifiants associés à au moins dix points de localisation. Elle traitera, en parallèle, diverses données publiques :
– Agendas ouverts de personnalités publiques
– Données de participation aux séances parlementaires
– Cartes de densité de la France
– Données provenant de l’annuaire universel
– Sites de manifestations sportives publiques
Le contenu des deuxième et troisième étapes du plan dépendront de l’issue de la première. Tout au plus la Cnil laisse-t-elle miroiter des recommandations, des outils pratiques… et un possible plan de contrôle « comme dans le cadre des actions liées aux cookies et autres traceurs ».
Photo d’illustration générée par IA
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…