la semaine dernière cela a été découvert en tant qu'application appelée Path télécharge l'intégralité du contenu du carnet de contacts depuis les iPhones des utilisateurs vers les serveurs de la société de développement. Les développeurs de l'application ont reconnu cette pratique et ont publié une mise à jour pour l'application résolvant le problème et présentant leurs excuses aux utilisateurs. Cette semaine, on a découvert que Twitter, Facebook, Instagram, Yelp, Foursquare et d'autres applications similaires récupèrent les mêmes données du carnet d'adresses sans avertir les utilisateurs de cet aspect.
Parce que le problème est assez important pour les Américains, le Congrès américain envoyé aujourd'hui une lettre au PDG d'Apple, Tim Cook, dans laquelle il lui demande de fournir des explications sur la manière dont les applications ont accès au carnet d'adresses et en transfèrent les données sans le consentement des utilisateurs. Les membres du congrès veulent savoir comment Apple vérifie les applications qui doivent être lancées dans l'App Store et comment il protège ses clients contre le vol de données, des choses qu'Apple doit détailler d'ici le 29 février.
Le bon côté de ce scandale ? iOS inclura une nouvelle mesure de sécurité qui nous avertira lorsqu'une application tentera de prendre des données de notre carnet d'adresses. Un système similaire existe pour les notifications push et le GPS, mais je pense que dans iOS 5.1 nous aurons quelque chose de similaire pour le carnet de contacts.
M. Tim Cook
Président-directeur général, Apple Inc.
1 Infinite Loop
Cupertino, CA 95014
Cher Monsieur Cook :
La semaine dernière, le développeur indépendant d'applications iOS, Arun Thampi, a blogué sur sa découverte selon laquelle l'application de réseau social "Path" accédait et collectait le contenu de son carnet d'adresses iPhone sans jamais avoir demandé son consentement.[1] Les informations prises sans sa permission – ou celle des contacts individuels qui possèdent ces informations – comprenaient les noms complets, les numéros de téléphone et les adresses e-mail.[2] Suite à la couverture médiatique de la découverte de M. Thampi, le cofondateur et PDG de Path, Dave Morin, s'est rapidement excusé, a promis de supprimer des serveurs de Path toutes les données qu'il avait extraites des carnets d'adresses de ses utilisateurs et a annoncé la sortie d'une nouvelle version de Path qui inviter les utilisateurs à accepter de partager les contacts de leur carnet d'adresses.[3]
Cet incident soulève la question de savoir si les politiques et pratiques d'Apple en matière de développement d'applications iOS ne suffisent pas à protéger les informations des utilisateurs d'iPhone et de leurs contacts.
La section de gestion des données de votre site Web de développeur iOS indique : « iOS dispose d'une collection complète d'outils et de cadres pour stocker, accéder et partager des données. . . . Les applications iOS ont même accès aux données globales d'un appareil, telles que les contacts dans le carnet d'adresses et les photos dans la photothèque. » [4] La section des directives d'examen de l'App Store indique : « Nous examinons chaque application sur l'App Store en fonction d'un ensemble de critères techniques, de contenu et de conception. Ces critères d'évaluation sont désormais disponibles dans les directives d'évaluation de l'App Store. »[5] Cette même section indique que les directives ne sont disponibles que pour les membres enregistrés du programme pour développeurs iOS.[6] Cependant, les blogs technologiques suivant la controverse Path indiquent que les directives des applications iOS exigent que les applications obtiennent l'autorisation d'un utilisateur avant de « transmettre des données sur un utilisateur ».
Malgré ces directives, des affirmations ont été faites selon lesquelles « de nombreux développeurs d'applications iOS s'entendent discrètement sur le fait qu'il est acceptable d'envoyer l'intégralité du carnet d'adresses d'un utilisateur, sans sa permission, à des serveurs distants, puis de le stocker pour référence future. C'est une pratique courante, et de nombreuses entreprises ont probablement votre carnet d'adresses stocké dans leur base de données. » – l'un d'entre eux prétendant posséder une base de données contenant « le numéro de téléphone portable de Mark Zuckerberg, le numéro de téléphone personnel de Larry Ellison et le numéro de téléphone portable de Bill Gates. »[8]
Le fait que la version précédente de Path ait pu obtenir l'autorisation de distribution via l'iTunes Store d'Apple malgré la saisie du contenu des carnets d'adresses des utilisateurs sans leur autorisation suggère qu'il pourrait y avoir une part de vérité dans ces affirmations. Pour mieux comprendre et évaluer ces réclamations, nous vous demandons de répondre aux questions suivantes :
– Veuillez décrire toutes les directives des applications iOS qui concernent les critères liés à la confidentialité et à la sécurité des données qui seront consultées ou transmises par une application.
- Veuillez décrire comment vous déterminez si une application répond à ces critères.
– Quelles données considérez-vous comme des « données relatives à un utilisateur » qui sont soumises à l'exigence que l'application obtienne le consentement de l'utilisateur avant d'être transmises ?
- Dans la mesure où cela n'a pas été abordé dans la réponse à la question 2, veuillez décrire comment vous déterminez si une application transmettra des « données sur un utilisateur » et si l'exigence de consentement a été remplie.
– Combien d'applications iOS sur l'iTunes Store américain transmettent des « données sur un utilisateur » ?
– Considérez-vous le contenu du carnet d'adresses comme des « données sur un utilisateur » ?
– Considérez-vous le contenu du carnet d’adresses comme des données du contact ? Dans la négative, veuillez expliquer pourquoi. Veuillez expliquer comment vous protégez les intérêts de confidentialité et de sécurité de ce contact dans ses informations.
– Combien d'applications iOS sur l'iTunes Store américain transmettent les informations du carnet d'adresses ? Combien d'entre eux demandent le consentement de l'utilisateur avant de transmettre les informations de leurs contacts ?
– Vous avez intégré à vos appareils la possibilité de désactiver en un seul endroit la transmission des informations de localisation entièrement ou application par application. Veuillez expliquer pourquoi vous n'avez pas fait de même pour les informations du carnet d'adresses.
Veuillez fournir les informations demandées au plus tard le 29 février 2012. Si vous avez des questions concernant cette demande, vous pouvez contacter Felipe Mendoza avec le personnel du Comité de l'énergie et du commerce au 202-226-3400.
Sincèrement,
Henry A. Waxman, membre de classement
GK Butterfield, membre du classement
Sous-comité du commerce, de la fabrication et du commerce
