Tout est parti de la « découverte » de deux chercheurs en sécurité informatique. Ils ont affirmé avoir découvert que les smartphones iPhone conservent des informations de géolocalisation avec les heures correspondantes. Tollé général. Par Alain Just Coly

Dans un premier temps, Steve Jobs, le CEO d’Apple, a déclaré que l’iPhone « ne traque personne » et que l’information disséminée à ce sujet « est fausse ».

En approfondissant les données collectées par Apple, on peut savoir où l’utilisateur de l’appareil est passé et à quel moment il y est passé. Les chercheurs se sont demandés pourquoi Apple, le constructeur du terminal et du logiciel en question, conserve cette information et comment il compte – ou ne compte pas – s’en servir. Cette nouvelle a fait le buzz. Les journaux télévisés, en France, en ont fait cas dans leurs éditions du 21 avril 2011. Les forums et les réseaux sociaux en ont largement débattu et la presse écrite n’a pas manqué de suivre.
Interrogé à ce sujet par un utilisateur de l’iPhone qui menaçait de troquer son appareil contre un Android, le smartphone concurrent de Google, le CEO d’Apple, Steve Jobs, après avoir assuré que les terminaux Android collectent l’info de la même manière, a tenu à préciser que l’iPhone « ne traque personne » et que l’information disséminée à ce sujet « est fausse ».
Apple n’a pas nié cependant que ses iPhones collectent des informations de géolocalisation, même si pour la firme il s’agit de collecter des informations sur les points d’accès WiFi. La question aussi est de savoir ce que deviennent les données collectées ? Comment Apple les utilise-t-il ? Sont-elles simplement stockées sur ses serveurs ou sont-elles – seront-elles – transmises à des tiers ? Ce n’est pas la même chose dans les deux cas.

En approfondissant les données collectées par Apple, on peut savoir où l’utilisateur de l’appareil est passé et à quel moment il y est passé. Les chercheurs se sont demandés pourquoi Apple conserve cette information et comment il compte s’en servir.

Une étrange demande de brevet
Un ingénieur expert de la CNIL française (Commission nationale informatique et libertés), Bertrand Pailhès, estime que « si les données ne sont pas envoyées à Apple ou à un tiers, ce n’est pas illégal ». Mais il ajoute tout de même que « l’information des utilisateurs et la sécurité des sauvegardes sont insuffisantes » en la matière.
Ce qui paraît certain, c’est que la fonction de stockage des informations de géolocalisation n’est pas fortuite. Des sources (gawker.com) révèlent qu’Apple a bel et bien déposé une demande de brevet dont la description mentionne des « historiques de positions géographiques pour des appareils capables de se géolocaliser ». Cette demande de brevet aurait été déposée en mars 2011 par un cadre supérieur d’Apple, Ronald Huang, sous le numéro 12/553-554. Dans la description du brevet, il est aussi question de transmission de données vers des serveurs distants.

Utilisateurs consentants
Apple s’est expliqué, le 27 avril 2011, sur son site web, répondant à un certain nombre de questions que se posent les utilisateurs. Pour la firme, « l’iPhone n’enregistre pas votre position. Il stocke en fait une base de données de points d’accès WiFi et d’antennes relais situés à proximité de votre emplacement actuel, parfois éloignés de plus de 150 mètres de votre iPhone, afin que votre iPhone soit en mesure de calculer votre position de manière rapide et précise lorsque vous en avez besoin. » Grâce à cette fonction, précise Apple, on peut obtenir sa position « en quelques secondes seulement, en exploitant les données des points d’accès WiFi et d’antennes relais », alors que « calculer la position d’un téléphone en n’utilisant que les données GPS peut prendre plusieurs minutes ». Il s’agirait donc, du point de vue du concepteur de l’iPhone, d’un outil de performance pour les utilisateurs.
Quant à l’usage fait des données collectées, Apple explique : « Nous fournissons des journaux de blocages (crash logs) anonymes provenant d’utilisateurs consentants aux développeurs tiers, pour les aider à déboguer leurs apps [applications web]. Notre système de publicité iAd peut utiliser des données de localisation pour cibler des annonces. » Mais, précise la firme, « la position n’est fournie à aucun tiers ou publiciste sans le consentement explicite de l’utilisateur ».

Par ailleurs, se défend Google, dans Android, c’est par opt-in que l’option de géolocalisation est activée, et les données ne sont stockées que pendant une semaine.

Option opt-in
Dans la foulée, on a appris que les iPhones n’étaient pas les seuls appareils en cause. Les tablettes iPad du même fabricant, mais aussi les smartphones Android de Google, collectent aussi des données de géolocalisation. Pour Google, c’est l’email d’un employé qualifiant d’« extrêmement sérieuses » les bases de données de localisation des téléphones Android qui a déclenché la plainte d’une entreprise concurrente, Shyhook Wireless. L’affaire n’a cependant pas fait autant de bruit pour Google que pour Apple. L’éditeur du célèbre moteur de recherche a expliqué que, dans son cas, c’est par opt-in que l’option de géolocalisation est activée et que, donc, la collecte de données géolocalisées ne peut fonctionner qu’avec le consentement de l’utilisateur. Par ailleurs, se défend Google, dans Android, les données ne sont stockées que pendant une semaine. Pour Apple, qui a reconnu que c’était « trop », c’est un an, ce que le constructeur explique par un bogue.

Une question de jours
Dans les pays développés, la notion de données personnelles est très sensible et les consommateurs surveillent comme du lait sur le feu – quand ils le peuvent – les informations personnelles les concernant qui passent par le réseau, et surtout la manière dont elles pourraient être partagées par les éditeurs de logiciels. Il n’est donc pas étonnant que, dans cette affaire, deux membres du Congrès américain aient décidé d’envoyer une demande d’explication à Apple. Aux Etats-Unis, où les actions en justice contre de grandes sociétés sont loin d’être rares, une plainte a même été déposée devant un tribunal de l’Etat de Floride, rapporte le site The Register. Les plaignants estiment qu’il s’agit d’un « préjudice irréparable » avec pour victimes « des millions d’Américains ». Pour eux, « l’accès à l’information non cryptée collectée par Apple place les utilisateurs devant un sérieux risque d’intrusions dans leur vie privée, y compris le harcèlement criminel ». Ils demandent donc des dommages et intérêts à Apple. Mais cela n’arrivera peut-être pas jusque-là. Après avoir semblé banaliser l’affaire, du moins tout au début, le CEO de la firme, Steve Jobs, l’a considérée avec plus de sérieux. Quelques jours plus tard, en effet, Apple a affirmé qu’il allait se pencher sur la question et publier un correctif au logiciel iOS, le système d’exploitation de l’iPhone et de l’iPad 2.

Corriger le problème
Le correctif a finalement été livré par les développeurs de la firme. Plutôt qu’une question de semaines, comme annoncé d’abord par Apple dans son site, cela n’a été finalement qu’une question de jours, car depuis le 4 mai 2011 la mise à jour est disponible dans la version 4.3.3 du système d’exploitation iOS. Elle est téléchargeable gratuitement depuis iTunes et permet de corriger le problème de géolocalisation en limitant la quantité de données stockées et le temps de sauvegarde de ces informations qui passerait d’un an à une semaine. Mieux, l’utilisateur a la possibilité de désactiver la fonction de géolocalisation, ce qui a pour effet de rendre inopérante la collecte de données.

Protection de la vie privée
Les préoccupations de la CNIL qui, le 6 mai dernier, publiait dans son site les bonnes pratiques en matière de localisation avec un smartphone, sont ainsi, en partie du moins, prises en compte. Pour cette commission, les données doivent être conservées 24 heures au maximum ; le possesseur du smartphone doit être averti de la collecte et de ses fins ; il doit pouvoir aussi s’y soustraire en supprimant ces données de localisation. Des exigences adressées par la mise à jour iOS 4.3.3 qui concerne les iPhone 3GS et 4, les iPod Touch 3G et 4G et les tablettes iPad et iPad 2.
Mais cela n’a pas empêché que le 10 mai 2011, un sous-comité du Sénat américain a reçu pour audition des responsables d’Apple et de Google dans le cadre d’une rencontre baptisée « Protection de la vie privée sur mobiles : vos smartphones, tablettes et téléphones et votre vie privée ». Apple et Google ont dû s’expliquer sur la collecte de données de géolocalisation de leurs appareils.