L’approche « privacy by design » pour les applications mobiles : pourquoi cela ne suffit pas

Les applications mobiles installées sur nos smartphones sont l’une des plus grandes menaces pour notre vie privée numérique. Ils sont capables de collecter de grandes quantités de données personnelles, souvent très sensibles.

Le modèle de consentement sur lequel reposent les lois sur la protection de la vie privée ne fonctionne pas. Les utilisateurs d’applications restent préoccupés par la confidentialité, comme le montre un récent sondage, mais ils ne sont toujours pas très doués pour la protéger. Ils peuvent manquer de savoir-faire technique ou de temps pour examiner les conditions de confidentialité, ou ils peuvent manquer de volonté pour résister à l’attrait des applications tendance et des offres intégrées personnalisées.

En conséquence, les lois sur la confidentialité sont devenues plus détaillées, imposant des exigences supplémentaires concernant les notifications, la minimisation des données et les droits des utilisateurs. Les sanctions sont devenues plus sévères. Et les lois ont souvent une portée mondiale, comme la règle de protection de la vie privée en ligne des enfants des États-Unis et le règlement général de l’UE sur la protection des données. Par exemple, un développeur sud-africain d’une application téléchargée par des enfants aux États-Unis et dans l’UE doit se conformer aux deux et à la loi sud-africaine sur la protection des informations personnelles. Cette complexité peut créer un fardeau de conformité important.

Mais le vrai problème, selon un rapport de l’Agence européenne pour la cybersécurité, est que les avocats et les développeurs d’applications ne parlent pas la même langue. Un développeur d’applications peut ne pas savoir comment traduire des principes juridiques abstraits en étapes d’ingénierie concrètes.

En conséquence, les régulateurs se sont tournés vers le concept de « privacy by design » comme moyen de combler ce fossé. Le concept a été inventé à la fin des années 1990 par Ann Cavoukian alors qu’elle était commissaire à l’information et à la protection de la vie privée de l’Ontario, au Canada. La confidentialité dès la conception va au-delà des politiques de confidentialité et des paramètres d’autorisation dans l’application. Cela oblige les développeurs à penser à la confidentialité dès le premier instant du processus de conception.

Cavoukian a énoncé sept principes fondamentaux pour une approche de confidentialité dès la conception. Mais c’est le deuxième principe, « la confidentialité en tant que paramètre par défaut », qui définit vraiment la barre pour une application respectueuse de la confidentialité.

« Intégrez le degré maximal de confidentialité dans les paramètres par défaut de tout système ou pratique commerciale. Cela préservera la confidentialité de l’utilisateur, même s’il choisit de ne rien faire. »

Cela confère au développeur de l’application la responsabilité de penser à la confidentialité de l’utilisateur dès le départ et de concevoir l’application de manière à ce que la confidentialité soit automatiquement protégée, tout en offrant une expérience d’application entièrement fonctionnelle.

Mais mes recherches ont montré que les décisions de conception prises par les développeurs d’applications sont limitées par les technologies existantes et les règles de plate-forme conçues par d’autres. Il s’agit notamment du matériel et du système d’exploitation de l’appareil, du kit de développement logiciel, des bibliothèques d’annonces et des politiques de révision de l’App Store.

La réponse est la confidentialité par (re)conception, où tous les acteurs de l’écosystème prennent la confidentialité au sérieux et repensent les plateformes et technologies existantes. Mais l’application de cette approche nécessitera une réglementation juridique plus stricte du partage de données par des tiers.

Changement d’état d’esprit

L’application d’une approche de confidentialité dès la conception nécessite un changement d’état d’esprit de la part des développeurs. Ils doivent être proactifs, plutôt que de répondre après coup à une violation de données qui aurait pu être évitée. L’époque où l’on collectait autant de données personnelles que possible dans l’espoir qu’elles pourraient s’avérer utiles plus tard est révolue. Les développeurs doivent aligner la collecte de données sur un objectif spécifique pour lequel les données sont nécessaires et le communiquer aux utilisateurs de l’application. Ils doivent également anonymiser ou supprimer les données dès que possible.

La confidentialité devrait devenir un élément clé de la méthodologie de conception, de la sélection des outils techniques et des déclarations de valeur organisationnelle.

Ce sont des changements importants, approuvés dans les directives pour les développeurs d’applications mobiles publiées par le Global System for Mobile Communications et par les régulateurs aux États-Unis, au Royaume-Uni, en Australie et au Canada, entre autres. Dans l’UE, la « protection des données dès la conception et par défaut » est désormais une obligation légale du règlement général sur la protection des données.

Mais, comme le montrent mes recherches, cela pourrait ne pas suffire sans la refonte de l’écosystème d’applications pour aborder le partage de données, un point de vue soutenu par d’autres recherches. Selon une étude, la plupart des applications transmettent des données directement à des tiers, comme Google, Facebook et Ad Exchanges, via des trackers intégrés dans le code de l’application. Mais j’ai constaté que les lois sur la protection de la vie privée ne traitent pas de manière exhaustive ou cohérente ce partage par des tiers.

Le terme « tiers » n’est pas défini dans la Loi sur la protection des renseignements personnels, mais inclurait les réseaux publicitaires, les sites de partage de contenu et les plateformes de réseaux sociaux. Les tiers sont ainsi distingués des sous-traitants en aval qui peuvent effectuer un traitement de données spécifié en votre nom dans le cadre d’un contrat.

Il est difficile d’engager la responsabilité juridique de ces tiers, qui se trouvent souvent en dehors du pays où l’application a été développée. Leurs termes et conditions placent généralement l’entière responsabilité du respect de la confidentialité par l’application sur le développeur de l’application. Cela peut laisser les utilisateurs de l’application sans protection. Mais cela pourrait également exposer le développeur de l’application à une responsabilité légale imprévue.

La responsabilité du développeur de l’application découle du fait qu’en vertu de la loi sur la protection des informations personnelles et du règlement général sur la protection des données, si vous avez joué un rôle dans la détermination de « l’objectif ou des moyens » du traitement des données, vous êtes une partie responsable « conjointe » (contrôleur de données) pour le données traitées par le tiers.

La Cour de justice européenne a tenu à deux reprises les petites entreprises responsables en tant que « contrôleurs conjoints » de la collecte de données par Facebook, via une page fan et un bouton J’aime. Bien que les jugements soulignent que le contrôle conjoint n’est pas nécessairement une « responsabilité égale », cela devrait toujours être une préoccupation pour les développeurs d’applications.

Par exemple, les développeurs d’applications utilisant le kit de développement logiciel Facebook partagent des données personnelles avec Facebook. Les journaux d’événements tels que « application installée », « SDK initialisé » et « application désactivée » donnent des informations démographiques et comportementales détaillées sur un utilisateur de l’application. En 2018, Privacy International a signalé que le paramètre permettant de retarder la transmission des événements enregistrés jusqu’à ce que l’utilisateur ait donné son consentement n’a été ajouté par Facebook que 35 jours après l’entrée en vigueur du Règlement général sur la protection des données, et uniquement s’il est activé par le développeur pour la version SDK 4.34 ou supérieure. . Ce changement semble avoir fait suite à des rapports de bogues répétés déposés sur la plate-forme du développeur.

Plats à emporter

Le point à retenir ici pour les développeurs suivant une approche de confidentialité dès la conception est de « faire confiance mais vérifier » :

• Vérifiez attentivement les conditions du contrat et le code tiers ;
• Surveiller les plates-formes de développement pour les mises à jour de sécurité et de confidentialité ;
• Ne travaillez qu’avec des organisations qui offrent des garanties de confidentialité adéquates ;
• Informez vos utilisateurs des transferts de données à des tiers et fournissez des contrôles de confidentialité faciles à utiliser.
• Conservez des journaux afin de pouvoir répondre rapidement si un utilisateur de l’application demande des détails sur les données personnelles que vous détenez et les destinataires (ou catégories de destinataires) de ces données.

Poursuivre les développeurs d’applications qui enfreignent les lois sur les données est important mais pas suffisant. En fin de compte, les parties qui conçoivent les technologies et les plates-formes sur lesquelles les applications mobiles sont construites et commercialisées doivent être intégrées dans le cadre de responsabilité légale afin de boucler la boucle de confidentialité.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l’article original.