Clé à emporter
- Toutes les applications Google Play afficheront obligatoirement une étiquette de confidentialité de style nutritionnel à partir d'aujourd'hui.
- Le libellé est destiné à mieux expliquer les autorisations et la politique de confidentialité d'une application.
- Le contenu de l'étiquette fourni par les développeurs pourrait ouvrir la possibilité aux applications d'induire les gens en erreur, selon certains.
La nouvelle section de sécurité des données sur le Play Store de Google a divisé les experts en confidentialité.
À partir d'aujourd'hui, les applications du Google Play Store devront obligatoirement partager des informations sur leurs pratiques de collecte et de partage de données, qui seront répertoriées dans la nouvelle section Sécurité des données. Cependant, comme certaines personnes l'ont remarqué, Google s'attend désormais à ce que les utilisateurs fassent confiance à ces considérations de confidentialité fournies par les développeurs au lieu de l'ancienne liste d'autorisations de confidentialité générée par Google.
"Nous savons que pour engager de manière significative les utilisateurs, les systèmes logiciels eux-mêmes doivent inspirer la confiance, et tout effort à cette fin de leur part est sapé par un magasin d'applications qui présente la divulgation de soi comme sa politique", Vuk Janosevic, PDG Blindnet, fournisseur de logiciels de confidentialité, a déclaré à Lifewire par e-mail: "Si les développeurs doivent déclarer eux-mêmes quelles données ils collectent et à quelles fins, la question devient: que va faire Google pour garantir la conformité et l'exactitude ?"
Ouvert aux abus
Google a commencé à déployer la section Sécurité des données en mai, en la présentant comme un moyen de donner aux utilisateurs plus de visibilité sur les politiques de collecte de données des applications répertoriées. Google n'est pas le premier à le faire, Apple a déployé quelque chose de similaire en décembre 2020.
La nouvelle section partage exactement les données qu'une application collecte et divulgue les données qu'elle partage avec des tiers. Il détaille également les pratiques de sécurité de l'application et les mécanismes de sécurité que ses développeurs utilisent pour protéger les données collectées et indique aux utilisateurs s'ils ont la possibilité de demander au développeur de supprimer leurs données collectées, par exemple, lorsqu'ils cessent d'utiliser l'application.
Cependant, non seulement Google fera confiance aux développeurs pour fournir des détails précis, mais il supprimera également l'ancienne liste d'autorisations d'applications générées automatiquement. L'accent mis sur les détails fournis par les développeurs ne plaît pas à certains experts en matière de confidentialité.
"Les consommateurs se méfient profondément des systèmes en ligne de nos jours", a déclaré Janosevic. "Les entreprises et leurs applications doivent faire un effort supplémentaire pour prouver qu'elles ne sont pas des méchants et gagner la confiance de leurs clients."
Janosevic convient que le changement ouvre la possibilité aux développeurs de déformer leur intention et de collecter plus de points de données sur leurs utilisateurs qu'ils ne le prétendent.
"Mais je pense que le plus gros problème en jeu ici est que tout échec de la part de Google à réglementer et à appliquer ces règles et à faire savoir que la conformité menace en fin de compte d'éroder la confiance des utilisateurs dans le marché et les applications qui y sont répertoriées", a déclaré Janosevic..
La bonne manière
Jeff Williams, CTO et co-fondateur de Contrast Security, a déclaré que le passage aux étiquettes de confidentialité auto-attestées est plus important que la suppression de la liste des autorisations.
"C'est le meilleur moyen d'équilibrer les intérêts des consommateurs et des producteurs de logiciels sur le marché des logiciels", a déclaré Williams à Lifewire par e-mail. "Je pense que cela, et d'autres efforts comme les étiquettes de sécurité logicielle utilisées à Singapour et en Finlande, sont vraiment importants.”
Louant le passage aux étiquettes de style nutritionnel, Williams affirme que la grande majorité des utilisateurs n'ont pas prêté beaucoup d'attention à la liste des autorisations souvent cryptique, et des étiquettes plus simples sont plus efficaces pour façonner les choix des utilisateurs, comme cela a été le cas observé sur divers autres produits.
William comprend les personnes qui souhaitent que Google répertorie automatiquement les autorisations d'une application, mais pense qu'il est très peu probable que le nouveau système fasse l'objet d'abus. Il a dit que toute personne qui triche est susceptible d'être appelée ou bannie, car il n'est pas difficile de découvrir des écarts.
"Cette décision ne change rien au fait que les utilisateurs obtiendront des fenêtres contextuelles pour autoriser les applications à utiliser des autorisations dangereuses", a expliqué Williams. "Quiconque s'en soucie vraiment peut toujours obtenir ces informations."
En outre, il a souligné que le nouveau système autorise toujours les examens par des tiers, en indiquant spécifiquement la norme de vérification de la sécurité des applications mobiles OWASP (MASVS) qui peut examiner minutieusement les applications en tenant compte de plusieurs aspects de sécurité au-delà de leurs autorisations.
"Peut-être qu'un jour nous aurons accès à des étiquettes tierces à partir d'une source fiable, peut-être Google, peut-être quelqu'un d'autre [intégré au Play Store]", a déclaré Williams. "Mais pour l'instant, j'accueille une grande étiquette qui aidera les gens ordinaires à comprendre comment les applications qu'ils utilisent protègent leurs données.”
