1. Identifier les données auxquelles l’application peut accéder

Dresser la typologie des données personnelles disponibles sur un téléphone mobile (a) permet de prendre conscience de tous les aspects de la vie privée concentrés en cet unique appareil. Une fois cet enjeu souligné, la question de l'accès effectif aux données par une application donnée (b) sera examinée.

a. Typologie des données personnelles disponibles sur un téléphone mobile

Avec ses multiples usages, le téléphone mobile est devenu pour nombre de personnes un véritable confident numérique. En effet, ce périphérique renferme de nombreuses facettes de la vie privée de son propriétaire.

Voici une liste des données contenues dans un téléphone mobile :

  • identité (nom, prénom, éventuellement date de naissance) souvent renseignée dans les paramètres globaux ;
  • adresse électronique ;
  • adresse physique (saisie dans les paramètres globaux ou renseignés dans l'application de navigation afin de bénéficier de la fonction "retour à la maison") ;
  • numéro de téléphone (évidemment) ;
  • contacts (éventuellement, le lien qui unit le propriétaire du téléphone et ses contacts ; il peut en effet être déduit en fonction du groupe d'appartenance du contact ou du surnom utilisé) ;
  • photographies ;
  • vidéos ;
  • correspondances privées (sms, messageries, courriels) ;
  • empreintes digitales (stockées en vue de permettre le déverrouillage du périphérique ;
  • géolocalisation (désactivable et plus ou moins précise selon la technologie mise en œuvre (localisation par les réseaux WIFI et antennes cellulaires à proximité ou utilisation de la puce GNSS) ;
  • identifiants uniques du périphérique (IMEI, adresse MAC, etc.).
La présence d'applications peut également dévoiler du propriétaire ses :
  • problèmes de santé (par l'installation d'une application de suivi du diabète, par exemple) ;
  • préférences sexuelles (déduites de la présence d'une application de rencontres pour un public hétérosexuel ou homosexuel) ;
  • opinions religieuses (révélées par la présence d'applications destinées à la lecture du livre sacré d'une religion) ;
  • opinions politiques ou syndicales (dévoilées par la présence de l'application du parti ou du syndicat d'appartenance).
Bien entendu, cette typologie est incomplète. En effet, elle est, pour chaque individu, étroitement associée à l'usage qu'il fait de son téléphone mobile. Bien souvent, ce dernier renferme des données touchant à presque tous les aspects de la vie privée de son propriétaire, y compris des données sensibles dont la divulgation non voulue pourrait porter gravement atteinte aux droits et libertés de ce dernier.

Heureusement, chaque application installée n'a pas accès à l'ensemble de ces données. L'accès effectif à ces informations peut être refusé par l'utilisateur, lequel se voit de plus en plus offrir la faculté technique d'opérer des choix sur les données rendues accessibles à chaque application.

b. Accès effectif aux données par une application donnée

L'accès effectif aux données contenues dans un téléphone mobile peut être refusé par l'utilisateur de ce terminal. Cette règle est prévue par la directive dite ePrivacy (Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)).

La plupart des systèmes d'exploitation mobiles affichent à l'utilisateur la liste des permissions réclamées par une application avant l'installation de celle-ci. De même, les versions récentes de ces systèmes intègrent de plus en plus fréquemment des fonctionnalités permettant de gérer finement les droits accordés à une application en paramétrant une à une les autorisations d'accès aux données.

S'il n'est pas possible techniquement de refuser l'accès à une catégorie de données ou si ce refus empêche le bon fonctionnement de l'application, il est également possible de fournir à cette dernière de fausses données. Cette technique est à manier avec précaution car elle est peut être à double tranchant. Par exemple, l'application FakeTraveler permet de simuler une géolocalisation du téléphone en un lieu où il ne se trouve pas en réalité. Cela est très efficace pour se protéger d'une application trop curieuse. Toutefois, cette application fausse le positionnement géographique du téléphone dans son ensemble tant qu'elle fonctionne. Ainsi, toutes les applications recevront de fausses coordonnées géographiques. Il est facile d'en déduire les conséquences que cela peut avoir sur une application de navigation...

Laisser ou non une application accéder aux données contenues dans son périphérique suppose d'opérer un choix. Celui-ci ne peut être pertinemment arrêté sans avoir au préalable questionné l'adéquation entre les données accédées et les fonctionnalités proposées.