Des applications hébergées par l'App Store sont accusées d'avoir récolté des données personnelles d'utilisateurs via un outil d'analyse du comportement client.
Après Facebook, Google, c'est au tour d'un autre GAFAM de faire les frais d'un scandale de fuite de données. De nombreuses applications hébergées par l’App Store, ont utilisé un service d’analyses approfondi du comportement client, fourni par Glassbox. Problème, le dispositif vient d’être accusé de violation de données par TechCrunch, un site d'information américain spécialisé dans l'actualité des startups Internet. Quelques grands noms du tourisme et du voyage, Hotels.com, Expedia, Singapore Airlines ou encore Air Canada, font notamment partie des applications incriminées. A l’origine, la démarche n’est pas tant de nuire à la vie privée de l’utilisateur mais vise plutôt à améliorer l’expérience client en étendant les capacités traditionnelles d’analyse comportementale. En effet, grâce à Glassbox, les développeurs des sites en question utilisent le concept de "session replay" appelées aussi "répétition de session" qui leur permet de rejouer le parcours du visiteur (via des captures écran) au sein de l’application pour connaître les différents obstacles rencontrés et les points d’amélioration. Ce système, qui n’est pas nouveau ni le seul sur le marché, offre aux développeurs la possibilité de "voir à travers les yeux des utilisateurs". Ainsi, Air Canada comme Expedia par exemple, ont pu "infiltrer" l’écran des utilisateurs et connaître précisément chaque pression sur un bouton et chaque entrée au clavier, telles que des mots de passe et des numéros de carte de crédit, tout cela, sans même qu’ils le réalisent. En effet, dans sa politique de confidentialité, Glassbox "n’impose pas à ses clients" de mentionner qu’ils utilisent les outils d’enregistrement sur écran.
20 000 utilisateurs touchés sur Air Canada
Le risque est alors que ces données privées soient stockées puis envoyées à un tiers sans le consentement de l’utilisateur.
Pour l’heure, difficile de savoir combien d’utilisateurs ont été précisément touchés par cette collecte dissimulée. Seul Air Canada a déclaré avoir comptabilisé près de 20 000 personnes concernées par cette fuite de données sur sa seule page.
Apple a immédiatement réagi pour exprimer son mécontentement à travers un courrier électronique, indiquant : "La protection de la confidentialité des utilisateurs est primordiale dans l'écosystème Apple. Nos consignes de révision de l'App Store exigent que les applications demandent le consentement explicite de l'utilisateur et fournissent une indication visuelle claire lors de l'enregistrement, de la consignation ou de l'enregistrement des activités de l'utilisateur."
Face à ces manquements, la firme a par ailleurs prévenu que sans changement des conditions générales d’utilisation, ces applications seraient éjectées de l’App Store.
Et la loi RGPD dans tout ça ?
Qu’en est-il ici de la responsabilité d’Apple dans cette affaire ? Bien entendu, il convient aux sites clients de Glassbox de revoir leur méthode, mais Apple est avant tout tenu de respecter certaines dispositions de protection de données personnelles, notamment dans les pays où la RGPD (Règlement Général pour la Protection des Données) est en rigueur. "Si des citoyens européens ont été touchées par cette affaire, le RGPD doit pouvoir les protéger et la CNIL pourra sanctionner Apple", explique l’avocat Fabrice Degroote, spécialisé en droit des technologies et de la communication.
Doit-on par ailleurs rappeler qu’Apple a tout récemment annoncé, par l’intermédiaire de son CEO, Tim Cook, dans une interview accordée au Time, que les Etats-Unis doivent mettre en place une loi similaire au RGPD de l’Union européenne. Ce nouveau scandale de violation des données accélérera peut-être ce changement de cap.