Pas moins de 88 % des quelque 21 000 applications de santé mobile (mHealth) accessibles sur le Google Play Store comportent un code permettant d’accéder aux données personnelles des utilisateurs et même de les partager avec des tiers, selon une analyse du Hub de cybersécurité de l’Université Optus Macquarie à Sydney. L’étude, intitulée Mobile health and privacy: cross sectional study and published by the British Medical Journal, a examiné 8 000 applications classées dans la catégorie « santé » et 13 000 applications de la catégorie « santé et fitness ». Il s’agit de la quasi-totalité des applications mHealth accessibles sur le Google Play Store. Les chercheurs ont comparé leurs pratiques en matière de protection de la vie privée à un échantillon de référence de près de 8 500 applications hors mHealth.
1 application sur 3 collecte les mails des utilisateurs
L’étude souligne que : « Les principaux types de données collectées par les applications mHealth sont les informations de contact, la localisation de l’utilisateur et plusieurs identifiants d’appareils. Une partie de ces identifiants (en particulier, l’IMEI (International Mobile Equipment Identity), un identifiant unique utilisé comme empreinte unique des téléphones mobiles ; l’adresse MAC (Media Access Control), un identifiant unique de l’interface réseau de l’appareil ; et l’IMSI (International Mobile Subscriber Identity), un numéro unique qui identifie chaque utilisateur d’un réseau cellulaire) sont uniques et persistants (c’est-à-dire qu’ils sont immuables et ne peuvent pas être modifiés ou remplacés) et peuvent être utilisés par des tiers pour suivre les utilisateurs à travers les réseaux et les applications ».
Deux applications sur trois collectaient des identifiants MAC et des cookies, un tiers collectait les adresses électroniques des utilisateurs et environ un quart des applications pouvaient deviner la localisation actuelle de l’utilisateur en fonction de l’antenne relais à laquelle il était connecté. Toutefois, par rapport à d’autres types d’applications, les applications de santé mobile ont recueilli et transmis moins de données sur les utilisateurs et ont fait preuve d’une plus faible pénétration des services tiers. La transmission de données n’a été enregistrée que dans environ 4 % des applications mHealth testées, les types de données les plus courants étant le nom et la localisation des utilisateurs.
Une communication des données encore peu transparente
Si l’étude conclut que la façon dont les applications de santé mobile récupèrent et partagent les données des utilisateurs peut être considérée comme une routine, la communication de ces pratiques est tout sauf transparente. Près d’un quart des transmissions de données d’utilisateurs, en particulier les données concernant les mots de passe et les données de localisation, ont été observées comme ayant lieu via une connexion HTTP non sécurisée et non chiffrée. Près d’un tiers des applications de santé mobile ne proposaient aucune politique de confidentialité détaillant la manière dont les données étaient traitées. Par ailleurs, un autre quart des applications analysées traitait les données d’une manière qui violait clairement leur politique de confidentialité. Cela pourrait poser des problèmes aux entreprises qui seraient jugées en infraction avec les réglementations sur la vie privée telles que le Règlement général sur la protection des données (RGPD) de l’Union européenne, lequel exige que les utilisateurs soient clairement informés de la manière dont leurs données sont traitées.
« Les applications mobiles deviennent rapidement des sources d’information et des outils d’aide à la décision pour les cliniciens et les patients. Ces risques pour la vie privée devraient être expliqués aux patients et pourraient faire partie du consentement à l’utilisation de l’application. Nous pensons que le compromis entre les avantages et les risques des applications de santé mobile doit être pris en compte dans toute discussion technique et politique concernant les services fournis par ces applications », conclut l’étude.
Quelles recommandations pouvons-nous tirer de cette étude et de l’usage des applications mHealth ? Pour débuter, il est nécessaire à leur fonctionnement d’accéder à certaines de vos données ou aux fonctions de votre téléphone. Mais ces accès doivent être justifiés et limités. Est-il impératif d’accéder à vos contacts, votre microphone ou votre appareil photo pour compter vos pas quotidiens ? Lors de l’installation lisez les conditions d’accès et partage de vos informations personnelles et surveillez le nombre de permissions que l’application demande, n’hésitez pas à refuser les accès qui vous semblent inopportuns. Pour vous connecter à ces applications il est souvent demandé de créer un compte. Employez une adresse courriel différente de votre adresse principale et évitez l’utilisation de de données qui pourraient vous lier trop facilement à cette adresse (par exemple Pré[email protected]).
Pour terminer, supprimer les applications non utilisées de votre smartphone et demandez la suppression complète de votre compte si vous ne pouvez le faire vous-même. Si besoin insistez pour les données vous concernant ne soient pas conservées.
Vous voici prêt à suivre votre activité physique, en partageant les données personnelles essentielles avec les applications mHealth.
Benoit Grunemwald (ESET France)
Crédit photo : DR
[cc] Breizh-info.com, 2021, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine