On savait déjà que les applications Android étaient beaucoup trop curieuses - lors de l'installation d'une app la liste des autorisations obligatoires est toujours impressionnante - mais la CNIL a été plus loin en testant pendant trois mois (de juin à sept 2014) le contrôle de l'accès des applications aux données personnelles. Pour ce faire, la commission a installé un app maison sur des smartphones animés par Android 4.3 pour suivre 121 logiciels. Premier constat alarmant, l'information qui intéresse le plus les développeurs d'apps reste la géolocalisation. 24% des apps fournissent ainsi des données sur la localisation du terminal mobile. Bien souvent les utilisateurs acceptent rapidement les conditions d'utilisation lors de l'installation d'une app sans  se demander pourquoi un simple jeu comme Angry Birds veut accéder à la position approximative (réseau) et un app comme SportAuto veut connaître la position GPS précise du terminal. Autre point agaçant, 17% des logiciels accèdent au carnet d'adresses.



L'année dernière, la CNIL avait publié une étude du même genre mais avec des tests réalisés sur des terminaux Apple équipés d'iOS 5 (de nov 2012 à janv 2013). Les résultats étaient aussi mauvais : 31% des apps accédaient à la géolocalisation. La fonction GPS est bien celle qui intéresse le plus les éditeurs et les marchands (grande distribution, e-commerce...) aujourd'hui. Comme le relève le communiqué de presse de la CNIL, « le plus surprenant est surtout l'intensité et la fréquence d'accès à cette information par certaines applications. Sur une période de 3 mois, une application [l'app Play Store de Google en fait] a accédé plus de 1 million de fois à la géolocalisation et une deuxième plus de 700 000 fois. [...] Un accès par minute sur une période de 3 mois ... Et pourtant, il ne s'agissait pas d'applications de navigation ou d'itinéraire ». On comprend mieux pourquoi la batterie de nos smartphone se vide aussi vite.

Rooté son smartphone pour bloquer la surveillance généralisée

S'il est pourtant facile de bloquer la fonction GPS, on aimerait pouvoir interdire l'usage d'API et services à certaines apps pour éviter la triangulation UMTS et/ou WiFi. C'est possible avec un smartphone Android rooté en installant un firewall ou une app spécialisée, mais impossible avec un Android 4.4 de base. Des logiciels du type Permission Manager sont censés afficher un menu caché d'Android et bloquer certains services mais ils sont loin de donner toute satisfaction. Ils plantent d'ailleurs régulièrement depuis la mise à jour KitKat. Selon Google, la possibilité d'utiliser cette fonction cachée, réservée aux développeurs, était une erreur sur Android 4.3. Aujourd'hui, Advanced Permission Manger est un des rares utilitaires capable de bloquer - sans root - les permissions mais, pour ce faire,  il crée une copie expurgée de l'APK d'installation de l'app. Cette purge est souvent fatal à l'app qui refuse de démarrer ou plante régulièrement.

Derrière ces questions se dissimule la bataille autour de la géolocalisation marketing pour pousser des offres promotionnelles et des publicités ciblées. Les travaux de deux universitaires, Sébastien Gambs, de l'Université de Rennes, et Yves-Alexandre de Montjoye, de l'Université catholique de Louvain, ont montré qu'une base de données rassemblant des informations de localisation permettait de créer des profils d'utilisateurs en fonction de leurs habitudes culturelles, religieuses ou sociales. On comprend mieux l'usage qui peut ensuite être fait de ces données pour accompagner une campagne politique, une opération multi-canal, le lancement d'une lessive ou d'une crème glacée.