Pointé du doigt par le Conseil norvégien des consommateurs, Runkeeper a sorti une mise à jour de son app sur Android et iOS. 20 applications ont été passées au crible par cette organisation — dont une française, celle de Happn un service de rencontre — à propos de leur conditions d’utilisation et leur respect de la vie privée [pdf]. Une bonne partie sont des apps norvégiennes mais il y avait aussi Facebook, Instagram, Linkedin, Snapchat, Twitter ou encore Tinder.
Runkeeper en particulier avait éveillé la curiosité du Conseil. Toutes ces apps étaient installées sur un smartphone Android. Pendant un laps de temps de 48h où le mobile n’avait pas été utilisé, l’app de Runkeeper avait envoyé à 10 reprises des données de géolocalisation ainsi qu’un identifiant de publicité Google auprès d’un tiers : la société Kiip [pdf]. Celle-ci propose des services assez classiques aux éditeurs et aux marques pour monétiser leurs apps, afficher de la publicité, etc. Que cela se produise pendant que l’app est en service peut se comprendre, expliquait le CCC, mais pas lorsqu’elle est quittée.
Runkeeper avait pris note de cette observation et hier, son patron a annoncé la mise à disposition d’un correctif pour Android (il est en attente de validation sur iOS). L’explication donnée est celle d’un bug qui touchait la version Android. Lorsque l’app était réveillée, par exemple à la réception d’une alerte push, elle envoyait automatiquement les données de géolocalisation en direction de Kiip. Ce bug a été corrigé et l’intégration de ce service publicitaire a été retirée sur les deux plateformes.
Le Conseil norvégien des consommateurs avait aussi épinglé le français Happn et transmis ses observations à son homologue l’UFC-Que Choisir. Celui-ci les a relayées en février dernier auprès de la CNIL : « L’étude technique menée par Forbrukerradet souligne de possibles transferts de données réalisés par la société Happn vers des entreprises tierces, d’origine américaine […] La société Happn a-t-elle envoyé des données vers les Etats-Unis ? Y était-elle autorisée par la CNIL ? Continue-t-elle à les transférer depuis le 31 janvier (date de l’annulation du Safe Harbor, qui encadrait les échanges de données personnelles entre les Etats-Unis et l’Union européenne). L’autre interrogation portait sur la présence d’un cookie qui subsisterait sur le mobile (un smartphone Android) même après la suppression de l’app, sur son rôle et sa capacité à continuer de communiquer avec les serveurs de Happn.
Pour les autres apps, le CCC a porté ses critiques sur des formulations imprécises dans leurs conditions d’utilisation. Sur ce qu’il advient des données personnelles collectées lorsque le service n’est plus utilisé (sont-elles effacées et sous quel délai). Et sur les moyens dont dispose un utilisateur pour contester une fermeture de son compte décidée unilatéralement par le service.
Source : Forbrukerrådet
