Les applications mobiles pour enfants respectent-elles leur vie privée ?

Pourquoi étudier spécifiquement les applications mobiles dédiées aux enfants ?

Grazia Cecere : Un rapport de l’ONG Common Sense montre que 98 % des enfants de moins de 8 ans aux États-Unis utilisent un appareil mobile. Ils passent en moyenne 48 minutes par jour dessus. C’est énorme, et les acteurs du numérique l’ont bien compris. Ils ont développé un marché spécialement dédié aux enfants. Dans la continuité de mes travaux sur l’économie de la vie privée, je me suis demandé comment la notion de protection des données personnelles s’appliquait à ce marché. Nous avons lancé avec des chercheurs internationaux il y a plusieurs années un projet spécialement dédié à ces questions. Le projet a été initié aussi grâce au financement de la thèse de Vincent Lefrere dans le cadre du programme Futur & Ruptures financé par le Carnot Télécom & Société numérique et la Fondation Mines-Télécom.

Les données personnelles des enfants sont-elles considérées différemment de celles des adultes par les plateformes ?

GC : D’abord, les enfants ont un statut particulier dans le RGPD (règlement général sur la protection des données personnelles) en Europe. Aux États-Unis, il existe un cadre législatif particulier : COPPA. La FTC qui s’occupe des questions liées à la vie privée des utilisateurs de services numériques est également très attentive au respect des enfants. Au niveau des plateformes, Google Play et l’App Store disposent respectivement des catégories Famille et Enfants qui rassemblent les applications pour enfants. L’objectif affiché par Google et Apple est de bien séparer ces applis de celles destinées à des adolescents ou des adultes, et d’assurer une meilleure protection de la vie privée par les applications de ces catégories. Pour placer son application dans une de ces catégories, le développeur doit certifier respecter un certain nombre de règles.

Est-ce le cas en réalité ? Les applications des catégories pour enfants respectent-elles davantage la vie privée que les autres ?

GC : Nous avons mené des recherches pour répondre à cette question. Nous avons collecté des données de Google Play sur plus de 10 000 applications mobiles pour enfants, à la fois dans la catégorie dédiée et hors catégorie. Certaines applications décident en effet de ne pas certifier et de cibler les enfants par mots-clés. Nous regardons si l’appli collecte le numéro de téléphone, la localisation, les données d’usage, si elle accède à d’autres informations du téléphone… Et ensuite nous comparons les applis entre elles. Les résultats ont montré qu’en moyenne, les applications situées dans la catégorie pour enfants collectent moins de données personnelles et respectent plus la vie privée des utilisateurs, que celles destinées au même public mais hors de cette catégorie. On peut donc dire qu’en moyenne les catégories spécifiquement dédiées aux enfants proposées par les plateformes réduisent la collecte de données. En revanche, notre étude montre aussi qu’une partie non négligeable des applis qui sont dans ces catégories collecte des données sensibles.

Tous les développeurs jouent-ils le jeu de la protection des données personnelles des enfants ?

GC : Les marchés d’applications demandent aux développeurs de renseigner leur localisation. À partir de cette donnée géographique, nous avons cherché à savoir si le pays d’origine d’une application a une influence sur son niveau de respect de la vie privée. Nous avons montré que si le développeur se trouve dans un pays avec une régulation forte sur les données personnes — comme l’UE, les États-Unis, ou le Canada — il sera en moyenne plus respectueux qu’un développeur basé dans un pays avec une régulation faible. De plus, les développeurs qui choisissent de ne pas renseigner leur provenance sont en moyenne les développeurs qui collectent le plus de données sensibles.

Est-ce un résultat surprenant ?

GC : En un sens oui, car nous nous attendions à ce que le marché de l’application joue un rôle dans le niveau de respect des données personnelles. Ce résultat pose la question de l’extraterritorialité du RGPD par exemple. Normalement, qu’une application soit développée en France ou en Inde, si elle est placée sur le marché européen, elle doit respecter le RGPD. Or, nous montrons que pour des pays avec une faible régulation, le poids de la législation sur le marché de destination n’est pas suffisant pour changer les pratiques locales des développeurs. Il est important de souligner qu’il est extrêmement facile — et même encouragé par les plateformes — de proposer une application à tous les pays. Ce qui renforce le besoin d’y apporter une attention particulière.

Qu’est-ce que cela implique pour le respect de la vie privée des enfants ?

GC : Les développeurs sont les propriétaires de la donnée. Lorsqu’une donnée personnelle est collectée par l’application, elle est ensuite envoyée dans les serveurs du développeur, le plus souvent dans son pays de localisation. Le fait que les développeurs étrangers soient moins regardants sur la protection de la vie privée implique que le traitement de cette donnée sera probablement moins respectueux de ce principe également.