La CNIL et l'Inria ont décidé de se pencher sur la sécurité des données personnelles enregistrées, stockées et diffusées sur les smartphones. Après avoir planché sur le sujet depuis un an, les deux organismes viennent de présenter les premiers résultats de leurs travaux, dans le cadre d'un projet baptisé Mobilitics.  L'objectif visait à développer un outil capable de détecter et d'enregistrer les accès à des données personnelles par des applications ou programmes internes du smartphone. L'outil a d'abord été implémenté dans des iPhone et concernera les terminaux Android dans les semaines à venir. Il a été installé sur 6 iPhone qui ont été testés par des volontaires de la CNIL pendant 3 mois. La Commission a tenu à préciser qu'il s'agissait « d'une démarche expérimentale portant sur un nombre limité d'utilisateurs et d'applications, qui, dans ce contexte déterminé, permettait d'étudier dans le temps, l'évolution des accès aux données personnelles. »

Une liste de recommandations

Les résultats montrent que l'organisme a pu collecter 9 Go de données. Sur les 189 applications téléchargées, 93% ont eu accès au réseau, 46 % à l'UDID (Identifiant unique d'Apple) et 31 % à des données de géolocalisation. Les tests révèlent également que 16% des applications sont à l'origine d'accès au nom de l'appareil, 10% aux comptes, 8% au carnet d'adresses et 2% au calendrier.

Dans ce contexte, le groupe des CNIL européennes (G29) a souhaité préciser les règles applicables aux smartphones en matière de protection des données. Dans un avis publié le 14 mars dernier, il a formulé des recommandations à l'égard des 4 grandes catégories d'acteurs : les développeurs d'applications, les fournisseurs de système d'exploitation et les fabricants de terminaux mobiles, les magasins d'applications ainsi que des tiers, comme les régies publicitaires ou les opérateurs de télécommunications. Ces recommandations portent en particulier sur la nécessaire limitation des données traitées dans le cadre de l'utilisation des smartphones,  l'impératif de transparence à l'égard des utilisateurs, l'amélioration de la maîtrise des informations et l'attention réservée à certaines données sensibles.