12 avril 2017 | Recherche
  • Partager :

Sur écoute ! Les applications d’e-santé gratuites se paient en données personnelles !

Elles utilisent des données personnelles bien plus sensibles que d’autres applications. Malgré tout, les fournisseurs d’applications d’e-santé négligent non seulement la protection des données, mais attirent aussi volontairement les utilisateurs avec des outils de santé gratuits afin de tirer profit de ces données. Ces abus ainsi que d’autres dysfonctionnements ont été dénoncés par l’étude actuelle des experts en protection des données de l’institut AV-TEST.

eHealth-Apps

im Sicherheitstest.

zoom

Elles comptent les kilomètres parcourus, les calories consommées et indiquent les jours les plus fertiles. Elles relèvent des cas d’hypertension, de dépression et d’alimentation déséquilibrée. Elles effectuent des appels d’urgence, donnent des conseils de santé, facilitent la recherche de médecins ainsi que de médicaments et rappellent aux patients de prendre leur traitement à l’heure voulue. Les applications de santé pour smartphones Android promettent d’assister les malades ainsi que les personnes souhaitant vivre plus sainement. En effet, plus de 100 000 applications de ce type aident déjà des millions de personnes à être plus actives, à mieux s’alimenter, à enregistrer et à interpréter leurs propres valeurs et signaux corporels afin d’optimiser ensuite leur comportement. Cela représente un gigantesque marché prometteur pour les développeurs d’applications, l’industrie du sport, de la médecine et des équipements, mais aussi pour les agents de publicité, les caisses d’assurance maladie et d’autres entreprises utilisant les données d’utilisateurs à des fins commerciales.

Google exige de véritables déclarations de protection des données

pour les applications du Play Store d’ici à la mi-mars. Ces dernières risquent autrement d’être exclues du Play Store. (Droits d’image appartenant à TNW)

zoom ico
De nombreuses applications de santé transfèrent les données d’utilisateurs

aux serveurs sur Internet sans les chiffrer. Cette application du fournisseur Hipp transfère même les mots de passe en clair comme l’a démontré le test de confidentialité d'AV-TEST.

zoom ico
Lors de l’analyse de 60 applications d’e-santé par l’institut AV-TEST

les testeurs ont clairement constaté que la plupart des applications voulaient accéder à des données qui n’étaient pas nécessaires au fonctionnement de l’application (voir points rouges et jaunes sur le graphique).

zoom ico
Les utilisateurs paient l’utilisation d’applications d’e-santé gratuites du transfert automatique de leurs données personnelles

et de santé à des réseaux publicitaires. Le graphique indique quelles applications partagent automatiquement des données d’utilisateurs avec quels réseaux publicitaires.

zoom ico

1

Google exige de véritables déclarations de protection des données

2

De nombreuses applications de santé transfèrent les données d’utilisateurs

3

Lors de l’analyse de 60 applications d’e-santé par l’institut AV-TEST

4

Les utilisateurs paient l’utilisation d’applications d’e-santé gratuites du transfert automatique de leurs données personnelles

Les utilisateurs divulguent eux-mêmes des données sensibles

Ces applications collectent des données pertinentes sur leurs utilisateurs grâce au grand nombre de capteurs intégrés dans les smartphones modernes. Ils utilisent aussi de plus en plus d’appareils périphériques tels que des balances, des bracelets connectés et d’autres appareils de mesure. Enfin, les utilisateurs indiquent aussi volontairement beaucoup de données. Ce faisant, ils partent toujours du principe que les fournisseurs d’applications traiteront les données exigées de manière confidentielle et les protégeront en conséquence. Contrairement aux autres, les applications du Play Store de Google disponibles dans les catégories « Santé et remise en forme », « Médecine » et « Lifestyle » utilisent de nombreuses données personnelles dont des données de santé.

Les 60 applications vérifiées par les experts en protection des données de l’institut AV-TEST représentent un vaste échantillon des applications d’e-santé proposées gratuitement dans le Play Store de Google. Cette sélection inclut des programmes Android pour diagnostiquer d’éventuelles maladies, des applications de recherche d’informations médicales, de pharmacies et de médecins, des capteurs d’activité ainsi que des applications pour surveiller des valeurs médicales comme des compteurs de calories, des journaux de diabète, des planificateurs de jours fertiles, des applications de surveillance du sommeil et des journaux de bébé.

Obstacles légaux importants et inquiétudes des utilisateurs

Conformément à la directive européenne sur la protection des données, à la loi fédérale allemande sur la protection des données (BDSG) ainsi qu’aux règlements légaux spécifiques, ce type de données personnelles est généralement soumis à une protection particulière : la personne concernée doit ainsi donner son accord à leur collecte, à leur traitement et à leur utilisation. De plus, la collecte, le traitement et l’utilisation des données doivent être expliqués de manière « complète et transparente » tandis que les utilisateurs doivent être informés en conséquence du traitement et de l’utilisation des données à l’étranger. Les prescriptions légales pour les données de santé sont encore plus restrictives.

Ces prescriptions légales devraient rassurer les utilisateurs de telles applications : d’après une étude actuelle de l’institut Allensbach (Disponible uniquement en allemand), les utilisateurs ne sont pas prêts à partager les données de leurs bracelets connectés avec des entreprises comme leur caisse d’assurance maladie. Même si le transfert des données de santé conduisait à un remboursement partiel des primes d’assurance maladie, plus de la moitié des sondés s’y opposeraient.

Outils gratuits utilisés comme appâts dans la pêche aux données

Les prescriptions légales et les inquiétudes des utilisateurs ne sont toutefois pas observées lors de l’utilisation pratique des données personnelles par de nombreux fournisseurs d’applications d’e-santé. Au lieu de proposer une véritable protection des données, ils attirent les utilisateurs avec des applications gratuites afin d’accéder à leurs données de sécurité comme le démontre l’étude actuelle de l’institut AV-TEST. Lors de tests aléatoires, les experts ont contrôlé la qualité ainsi que l’étendue des données enregistrées par les applications. Ce faisant, ils les ont aussi comparées à la mission de chaque application et ont évalué la collecte des données en conséquence. Les protecteurs de données ont vérifié dans quelle mesure les fournisseurs d’applications respectaient les exigences légales relatives à l’obligation d’information concernant la collecte et l’utilisation des données. Les testeurs ont également contrôlé le trafic de données des applications. Ils ont aussi examiné les outils et canaux utilisés par les applications pour collecter et transférer ces données.  

Plus de 80 % d’applications sans véritable déclaration de protection des données !

Certains fournisseurs d’applications de santé se permettent déjà de manquer à leur obligation légale d’informer les utilisateurs de la collecte et de l’utilisation des données : sur les 60 applications Android testées, seules 32 proposaient un lien direct vers une déclaration de protection des données dans le Play Store de Google. Cependant, seules 22 déclarations étaient accessibles via ces liens puisque dix ne renvoyaient vers rien ou que vers des pages Internet orphelines. Seules 19 des 60 applications proposaient une politique de confidentialité se référant directement à l’application concernée. 53 des 60 applications présentaient une déclaration de protection de données datant de 2014 ou d’avant – ou bien il n’y avait aucune information sur la validité temporelle de la déclaration.

Ces dysfonctionnements commencent manifestement même à déplaire à Google, puisque l’exploitant de la plus grande boutique d’applications au monde a annoncé des mesures drastiques pour les développeurs d’applications : début février, Google a envoyé un e-mail aux fournisseurs d’applications ne respectant pas les règles du Play Store concernant le traitement de données d’utilisateurs. Ce faisant, le groupe américain leur a fixé un délai expirant le 15 mars pour corriger les abus correspondants. Ils s’exposent autrement à des mesures drastiques pouvant aller jusqu’à l’exclusion du Play Store. D’après des estimations du portail médiatique « The Next Web », cela pourrait affecter des millions d’applications dans le futur. Dès 2014, une étude du GPEN avait établi que 85 % des applications n’avaient pas de politiques de confidentialité suffisantes.

De nombreux accès critiques aux données

Qu’elles aient une déclaration de protection des données ou non, un grand nombre d’applications d’e-santé testées par AV-TEST se montraient très curieuses quand il s’agissait des informations de leurs utilisateurs. Elles se sont donc octroyé de généreuses autorisations d’accès sur les appareils mobiles lors du test pratique. En plus des données d’utilisateurs et d’appareils, beaucoup d’applications demandaient à accéder aux photos et aux autres données enregistrées sur les appareils mobiles. Autres informations très prisées : les données géographiques, l’identification des appareils et les informations sur les appels. 12 applications exigeaient un accès direct à la caméra, 7 voulaient utiliser librement le microphone, dont 3 souhaitaient accéder à toutes les fonctions téléphoniques du smartphone. Seules 8 applications n’ont demandé aucune autorisation d’accès lors du test.

Les testeurs ont vérifié la nécessité des droits d’accès exigés par les applications en tenant compte de la fonction de l’application. Si les droits d’accès n’étaient pas nécessaires aux fonctions essentielles ou que leur utilité n’était pas apparente, alors les testeurs ont qualifié ces autorisations d’accès de « critiques ». Sur les 186 demandes d’accès enregistrées lors du test, les experts ont estimé que pas moins de 77 demandes étaient injustifiées pour l’usage de l’application et donc qu’elles étaient « critiques ». Une application destinée à enregistrer le cycle menstruel voulait ainsi être informée de la géolocalisation de ses utilisatrices. Une autre proposait de diffuser des informations correspondantes sur les réseaux sociaux.

Transfert de données non sécurisé et pistage publicitaire en clair

Lors du test actuel, les experts en sécurité ont également examiné le trafic de données des applications d’e-santé.  Ce faisant, ils ont découvert que les fournisseurs d’applications emploient déjà de nombreux outils de collecte des données et de pistage développés par des prestataires externes de l’industrie publicitaire, dont Google et Flurry Analytics, Baidu ainsi que le transfert automatique de données à Facebook.

Ils ont également remarqué que, dans la mesure où ces fournisseurs d’applications daignaient informer les utilisateurs du transfert de leurs données à des tiers, dans le meilleur des cas, seul Google Analytics était cité. Tous les autres réseaux publicitaires étaient passés sous silence et n’ont été révélés qu’en laboratoire par l’analyse du trafic de données des applications avec des logiciels spéciaux d’informatique légale (forensic software). Pour les utilisateurs inexpérimentés, ce transfert automatique des données à des tiers à des fins publicitaires n’était ni visible, ni limitable sous quelque forme que ce soit. 

Dans le cadre de cette analyse, les testeurs ont également découvert que des données de toutes sortes étaient échangées entre les applications et serveurs des fournisseurs et les réseaux publicitaires qui y étaient connectés. Les informations pouvant facilement être interceptées lors d’attaques de l'homme du milieu (MITM) incluaient des données d’utilisateurs sensibles comme celles associées à l’enregistrement d’authentifications, dont les noms d’utilisateurs et les mots de passe associés. Donc, non seulement certaines applications transmettent des données sensibles de leurs utilisateurs à des tiers sans qu’ils le sachent, mais en plus elles renoncent à des mesures de protection suffisantes comme le chiffrement du trafic de données.

La protection des données est un droit fondamental !

Bien que de plus en plus d’applications de santé soient utilisées depuis des années sur des appareils mobiles en Allemagne et en Europe, il n’existe toujours pas de contrôles de qualité ou de labels officiels pour évaluer la fiabilité ou la qualité de la protection des données de telles applications. Il est certes réjouissant de voir que des entités privées comme Google requièrent plus de protection des données de la part des applications, mais cela reste peu crédible. Il ne faut pas oublier que cette entreprise est l’une de celles qui profitent le plus du commerce mondial des données.

Une déclaration actuelle du ministre fédéral allemand de l’Intérieur Thomas de Maizière au journal Der Tagespiegel illustre ce problème : « La protection des données n’est pas une fin en soi. Elle vise plutôt à protéger la vie privée et les droits de la personnalité. Ce faisant, il n’existe aucune définition claire de ce qui relève de la vie privée. Les uns considèrent déjà l’envoi de publicité comme une atteinte à leur vie privée tandis que pour les autres, il faut entrer par effraction dans leur appartement. » Contrairement à ce que suppose le ministre de Maizière, les lois et la jurisprudence allemandes règlent clairement ce qui représente une atteinte à la vie privée ainsi qu’aux droits de la personnalité des citoyens et donc ce qu’il convient de protéger. Et cela ne vaut pas seulement pour les cambriolages domestiques, mais aussi pour la réception de publicité non sollicitée dans la boite aux lettres, par e-mail, par téléphone et par fax. Et contrairement à ce que pense le ministre de l’Intérieur, la protection des données est bien une fin est soi comme l’indique l’article 8.1 de la Charte des droits fondamentaux de l’UE : « Toute personne a droit à la protection des données à caractère personnel la concernant. » La phrase 3 précise aussi : « Le respect de ces règles est soumis au contrôle d’une autorité indépendante. »

Le gouvernement fédéral allemand doit enfin satisfaire à cette obligation légale. Il faut établir le plus vite possible les normes nationales nécessaires à la protection des consommateurs allemands et appliquer en même temps la législation européenne. L’espoir que les fournisseurs d’applications renoncent de leur plein gré aux données d’utilisateurs avec un « Code de conduite » qui reposerait sur un engagement volontaire ne peut pas remplacer l’application des lois de protection des consommateurs en vigueur.

Consommateurs jusque-là livrés à eux-mêmes

Jusqu’à la mise en œuvre des dispositions légales attendues, les utilisateurs d’applications de santé restent néanmoins livrés à eux-mêmes.  Comme le démontre l’étude actuelle d’AV-TEST sur la protection des données des applications d’e-santé, les utilisateurs devraient examiner de près quelles applications ils stockent sur leur smartphone ou tablette. Avant d’installer une application, il convient de contrôler, dans la mesure du possible, les autorisations d’accès demandées par l’application dans le Play Store afin de ne pas inviter d’espion de données sur ses propres appareils.

En tant qu’institut de tests indépendant, AV-TEST va désormais observer attentivement le marché des applications de santé.  Dans le cadre de cette étude, les testeurs ont développé un test de confidentialité fonctionnel qui examine non seulement les déclarations de protection des données, mais aussi quelles sont les données enregistrées par l’application, comment elles sont enregistrées et utilisées, si la collecte et l’utilisation de ces données sont nécessaires au fonctionnement de l’application et si ces données sont transmises à des tiers. Les utilisateurs peuvent désormais identifier les applications qui ont réussi sans problème ce test rapide concernant le droit à la protection des données, et ce, grâce au nouveau logo d’AV-TEST pour le respect de la vie privée.

Social Media

Nous voulons rester en contact avec vous !  Recevez simplement et régulièrement les dernières informations et les publications de test.