Les problèmes de confidentialité ne sont pas nouveaux dans le monde des applications mobiles. Des recherches antérieures ont mis en évidence une multitude de problèmes de confidentialité, notamment les applications Covid-19 partageant des données avec des sociétés de publicité et d’analyse, ou des applications de suivi des périodes partageant des données de santé sensibles sans le consentement des utilisateurs, bien qu’il ait été difficile de quantifier toute l’étendue du problème.
Une analyse de plus de 20 000 applications de santé semble brosser un tableau plus clair. La grande majorité des applications de santé, environ 88% d’entre elles, ont été conçues avec la possibilité de collecter ou de partager des données d’utilisateurs, selon une étude récemment publiée dans le BMJ.
En plus de cela, moins de la moitié des applications partageaient les données des utilisateurs d’une manière cohérente avec leur politique de confidentialité, et environ 28% des applications ne fournissaient aucune politique de confidentialité.
Les chercheurs ont écrit qu’ils « ont trouvé de sérieux problèmes de confidentialité et des pratiques de confidentialité incohérentes » dans les applications de santé mobiles, et ont conseillé aux cliniciens d’articuler les risques et les avantages pour les patients.
L’étude a été dirigée par un groupe de chercheurs de l’Université Macquarie de Sydney, qui a examiné plus de 20 000 applications Android, allant des compteurs de calories aux vérificateurs de symptômes en passant par les applications médicales. Ils ont examiné le code de chaque application pour les fonctions et les autorisations qui leur permettraient de collecter les données des utilisateurs. En règle générale, les applications de santé et de remise en forme étaient plus susceptibles d’inclure la possibilité de collecter et de partager des données utilisateur que les applications médicales.
Pourtant, un pourcentage important de toutes les applications de santé ont été codés avec la possibilité de collecter des données qui pourraient être utilisées pour créer des profils en ligne d’utilisateurs. Par exemple, plus de 60 % des applications de santé avaient la capacité de collecter des identifiants MAC et des cookies, qui peuvent être utilisés pour identifier les utilisateurs sur différentes applications et sites Web. Environ un tiers a collecté les adresses e-mail des utilisateurs, et un quart pourrait collecter l’emplacement de leur tour de téléphonie cellulaire.
La majorité de ces codes de collecte de données étaient liés à des services tiers, tels que Google Analytics, Google Ads, Github ou Facebook. En fait, les services Google représentaient à eux seuls plus d’un tiers des opérations de collecte de données dans le code des applications, selon l’étude.
Les chercheurs ont également analysé près de 16 000 applications pour voir quelles données personnelles des utilisateurs elles ont réellement transmises. Environ 4 % des applications de santé envoyaient des données utilisateur sur Internet, telles que le nom ou l’emplacement d’un utilisateur, et la plupart d’entre elles étaient des applications de santé ou de remise en forme.
Bien que ce pourcentage soit bien inférieur au nombre d’applications codées avec la possibilité de collecter des données utilisateur, les auteurs de l’étude ont averti que certaines transmissions de données utilisateur pourraient ne pas avoir été capturées par leurs tests.
« Ce pourcentage est substantiel et doit être considéré comme une limite inférieure pour les transmissions de données réelles effectuées par les applications », ont-ils écrit.
Autre chiffre inquiétant : un pourcentage important de ces transmissions de données, environ 23 %, n’utilisait pas de protocoles de communication sécurisés. Par exemple, des informations non cryptées sur le mot de passe de localisation GPS d’un utilisateur peuvent être partagées.
« Nos résultats montrent que la collecte d’informations personnelles sur les utilisateurs est une pratique omniprésente dans les applications mHealth (santé mobile), et pas toujours transparente et sécurisée », ont écrit les chercheurs. « Les patients doivent être informés des pratiques de confidentialité de ces applications et des risques associés à la confidentialité avant l’installation et l’utilisation. »
Crédit photo : David Tran, Getty Images