Quand des applis pompent vos données ( janvier 2026 )
Sur les
50 applications mobiles que nous avons testées, 12, dont certaines très
populaires, ne respectent pas suffisamment la vie privée de leurs
utilisateurs à nos yeux. Mieux vaut y avoir recours avec précaution, voire
éviter de les télécharger.
Des jeux, des utilitaires, des applis de
réseaux sociaux, de e-commerce, certaines sous le système d’exploitation
d’Apple iOS, d’autres sous celui de Google Android, des applis connues et
d’autres moins connues… au total, nous avons cherché à savoir ce que 50 applications mobiles
faisaient de nos données personnelles.
Côté sécurité, pas de souci. Tous les
échanges sont protégés contre les risques d’interception par des pirates. Cela
ne signifie pas pour autant que 100 % des applications présentes sur les
stores sont sûres. Pour ce qui est des permissions, ça va aussi. Les
autorisations réclamées par les applis (accès à la caméra, aux contacts, à la
géolocalisation, etc.) correspondent plus ou moins à ce dont elles ont besoin
pour fonctionner. Mais là encore, d’autres applications pourraient être plus
gourmandes. Qui plus est, ces permissions, d’ordre technique, ne préjugent pas
des données qui seront réellement récupérées ni de la manière dont elles seront
utilisées.
Des fuites de
données importantes
Notre plus grosse inquiétude vient des flux de
données, parfois très imposants, que notre laboratoire a détectés. Le réseau
social TikTok, par exemple, est de loin celui qui récupère le plus de données
pour son propre compte, sans que l’on sache vraiment si c’est nécessaire, ni de
quelles données il s’agit, ces transmissions étant souvent indéchiffrables.
Toutefois, les flux les plus importants étaient à
destination des serveurs de sociétés tierces, le plus souvent des courtiers en
données (ou data brokers) qui, dans le cadre d’un partenariat avec
l’éditeur, ont installé dans l’appli un « traqueur ». À chaque fois
qu’un utilisateur lance l’application, ce petit logiciel récupère des données
du téléphone et les transmet vers des serveurs externes.
Ces données sont ensuite utilisées pour établir
un profil précis de chaque utilisateur qui servira par la suite à lui afficher
de la publicité ciblée.
L’ensemble des
données du carnet d’adresses
Sur les 50 applications que nous avons
testées, 33 transmettent de grosses quantités de données. Parmi elles, 12,
à nos yeux, posent vraiment problème, non seulement parce qu’elles laissent
s’échapper beaucoup d’informations, mais aussi parce que des permissions
qu’elles réclament, comme l’accès à la caméra ou à la galerie photo, ne
semblent pas justifiées, ou bien encore parce que les informations qu’elles
fournissent sur la protection des données sont trop lacunaires. Sont concernées
des applications très répandues, à l’image de celles des plateformes de
e-commerce chinoises Temu et Shein, des réseaux sociaux TikTok et BeReal ou
encore de l’application d’apprentissage des langues Duolingo qui va jusqu’à
récupérer l’ensemble des données du carnet d’adresses (nom, prénom, e-mail et
téléphone), alors que rien ne l’exige. Nous ne pouvons que conseiller de
limiter l’utilisation de ces applications, voire de ne pas les télécharger.
Des applications trop
curieuses
Publié le 22 janvier 2026
Notre test révèle que si les applications mobiles
sont plutôt bien sécurisées, elles ont une fâcheuse tendance à transmettre
beaucoup plus d’informations personnelles sur leurs utilisateurs que
nécessaire. Et encore, on ne sait pas tout.
Partager des photos, communiquer avec ses
proches, s’orienter, se déplacer, s’informer, écouter de la musique, connaître
le temps qu’il va faire… les applications mobiles sont bel et bien devenues
incontournables dans notre vie quotidienne. Même pour faire des achats, elles
jouent désormais un rôle central. Les trois quarts des transactions
d’e-commerce dans le monde seraient aujourd’hui effectuées depuis un smartphone
et, en très grande majorité, par le biais d’une application dédiée.
Pourtant, derrière leur apparence anodine, se
cachent de redoutables machines à récolter des données. Dans certains cas,
c’est tout à fait compréhensible. Il n’y a rien d’étonnant, en effet, à ce que
l’éditeur d’un GPS recueille votre géolocalisation, ou que celui d’une
application de retouche d’image accède à votre galerie de photos. Des
informations techniques comme le modèle du téléphone, le système d’exploitation
ou l’opérateur peuvent également lui être utiles afin d’améliorer son service,
identifier d’éventuels bugs ou réaliser des statistiques.
Sauf que cette collecte est loin de s’arrêter là.
Les éditeurs d’applications passent des accords avec des courtiers en données
(ou data brokers), des sociétés dont l’activité consiste à en récolter
un maximum dans le but de les revendre ensuite, le plus souvent à des fins
publicitaires. En échange d’une rémunération, ils laissent ces entreprises
installer dans leurs programmes des traqueurs, ces sortes de petites
« briques » logicielles destinées à récupérer les informations
contenues dans les smartphones et à les envoyer vers leurs serveurs. Celles-ci
sont ensuite agrégées de manière à définir, pour chaque utilisateur, un profil
de consommateur, qui sera ensuite revendu à des régies qui s’en serviront pour
cibler leurs campagnes de pub. En effet, dès qu’un espace publicitaire apparaît
sur l’écran de votre téléphone ou de votre ordinateur, une requête est envoyée
à une multitude d’annonceurs potentiels, qui évaluent alors leur intérêt à vous
afficher une publicité en fonction justement du descriptif établi par le
courtier. Si vous les intéressez, ils indiquent combien ils sont prêts à
dépenser afin de tenter de vous séduire. Celui qui propose l’enchère la plus
élevée décroche le droit de diffuser sa pub sur votre appareil. Ce processus
automatisé ne prend que quelques centaines de millisecondes, et passe inaperçu
auprès du commun des mortels.
Ces
informations qui en disent beaucoup sur nous
Cependant, pour rendre ces profils les plus
fiables possibles, les courtiers ont besoin d’un maximum de renseignements sur
vous. Alors, ils n’hésitent pas à déployer leurs traqueurs sur de nombreuses
applications. Dès que vous lancez l’une d’elles, ces derniers se mettent en
marche et vos données s’envolent vers des serveurs. Le problème ? Les
informations récoltées en disent beaucoup plus sur nous que ce que l’on
imagine. Rien qu’en analysant les types d’applications que l’on consulte et les
heures de la journée où on le fait, les professionnels du profilage se forgent
une bonne idée de nos habitudes, de notre âge, de notre niveau de vie, de nos
passions, etc.
Grâce à notre géolocalisation, ils sont en mesure
de savoir facilement où on habite, où on travaille, dans quels restaurants et
quelles boutiques on se rend régulièrement, si on se déplace à pied ou en
voiture, si on voyage… En croisant ces données avec celles des autres profils
en stock, ils peuvent en déduire qui l’on fréquente – et même s’il s’agit
d’amis, de simples connaissances ou de relations amoureuses, selon le temps que
l’on passe avec ces personnes et le moment de la journée où on les côtoie !
Certaines applis apportent même des renseignements plus spécifiques. Celles qui
proposent des recettes de cuisine en disent long sur nos goûts culinaires,
celles permettant de lire la presse donnent des informations sur les sujets de
société qui nous intéressent, les comparateurs de prix livrent des indications
sur nos marques préférées ou encore sur les produits que l’on envisage
d’acheter.
Des éditeurs
plus ou moins avides
Dans cette économie de la donnée, tous les
éditeurs ne se comportent pas de la même manière. Certains décident de
n’accepter qu’un nombre limité de traqueurs. Ou aucun, à l’image de l’UFC-Que
Choisir, qui ne revend aucune information provenant de ses utilisateurs.
D’autres, à l’inverse, voient dans ces petits programmes un bon moyen de
monétiser leurs services. Résultat : il n’est pas rare de voir des applis
intégrer une dizaine de traqueurs, voire plus. D’autres encore vont bien plus
loin, par exemple en détournant de son usage le système de permissions grâce
auquel l’utilisateur contrôle le partage des données présentes sur son mobile.
Il n’est pas rare, en effet, que l’éditeur d’une application de lampe torche
demande à accéder à ses photos, ou que celui d’un outil de création de
documents au format PDF cherche à mettre la main sur ses contacts, alors que
rien ne le justifie. En décrochant ces autorisations, ils offrent surtout à
leurs courtiers partenaires un accès à plus d’informations, pour lesquelles ils
sont mieux rétribués. Cette pratique est loin d’être isolée.
Selon une étude, en 2022, 80 % des données
recueillies par les applications mobiles dans le monde n’étaient pas en lien
avec leurs fonctionnalités. Bien sûr, les éditeurs sont censés obtenir le
consentement explicite des personnes concernées avant de procéder à leur
récolte. Sauf que l’information est limitée à son strict minimum. Les
utilisateurs n’ont aucune conscience des données qui leur sont prises, ni où
elles sont stockées ni ce qui en est fait. Ils ignorent même le nom des
sociétés qui les récupèrent ou celui des entreprises à qui elles sont
revendues.
Un choix de
société
Cette opacité, Le Monde l’a dénoncée il y
a un an. Avec d’autres journaux étrangers, le quotidien français a réussi à se
procurer un extrait d’un fichier de données commercialisé par le courtier
DataStream Group. L’analyse de ce document a dévoilé l’ampleur de la collecte
et les risques importants qui en découlaient. Dans cet échantillon figuraient
les informations de 47 millions de téléphones mobiles, répartis dans
137 pays, dont 1 million chez nous. L’enquête avait révélé qu’en une
seule journée (celle du 2 juillet 2024), la société avait récolté pas
moins de 380 millions de coordonnées géographiques par l’intermédiaire de
39 499 applications. Gigantesque ! Les journalistes avaient
démontré, par ailleurs, que ces datas, censées être anonymes, permettaient en
réalité, sans trop de difficultés, d’identifier les individus. Il leur avait
suffi de quelques minutes pour retrouver, grâce à sa géolocalisation, le
domicile, et donc l’identité d’une retraitée bretonne dont les données avaient
été recueillies via des jeux sur mobile dont elle était friande… Et les risques
ne s’arrêtent pas là. Qu’en est-il, notamment, des données sensibles que l’on
génère en se servant d’applications à caractère religieux, sexuel ou liées à la
santé ? Elles sont censées faire l’objet d’une protection renforcée, mais
est-ce vraiment le cas ?
En 2020, des données provenant d’une application
de rencontres entre personnes de la communauté LGBTQI + ont été dérobées.
Des pirates se sont ainsi potentiellement emparés d’informations sur
l’orientation sexuelle et le statut VIH de milliers de gens. « Que ce
soit au niveau du consentement, de la nature des renseignements collectés ou de
ce qui est en fait, tout ce qui concerne nos données reste très vague. Or, de
leur protection et de leur contrôle dépend le
type de société dans laquelle nous souhaitons vivre », alerte Antoine Dubus, chercheur à l’École polytechnique fédérale de
Zurich, en Suisse.
50
applications passées au crible
Nous aussi, nous avons voulu savoir quelles
données recueillaient les applications, et ce qu’elles devenaient. Nous en
avons donc sélectionné 50, fonctionnant sous iOS ou Android, de toutes
sortes : de jeux, de réseaux sociaux, d’e-commerce, d’outils pratiques,
etc. Puis nous avons fait appel à un laboratoire spécialisé afin de regarder ce
qu’elles cachaient. D’abord, question sécurité, rien à redire. Quelles qu’elles
soient, les informations échangées sont systématiquement chiffrées et protégées
contre les risques d’interception par des hackers (vulnérabilité man-in-the-middle).
Cependant, cela ne signifie pas que 100 % des applis proposées dans les
stores sont sûres. Ensuite, nos experts ont vérifié quels types de permissions
chacune demandait. Même si la liste varie selon les applications, cela
correspond globalement à ce dont elles ont besoin pour fonctionner. Néanmoins,
ces autorisations ne sont que d’ordre technique. Elles ne préjugent pas des
données qui seront réellement cédées ni de la manière dont elles seront
employées.
En outre, nous avons constaté que, globalement,
les éditeurs récupéraient assez peu de données pour leur propre compte. Tous
sauf un : TikTok. Les échanges entre ce réseau social et les téléphones
des internautes sont considérables, sans que l’on sache vraiment pourquoi. De
plus, nombre de ces transferts n’ont pu être décryptés par notre laboratoire.
En ce qui concerne les transmissions
d’informations vers des sociétés tierces, en revanche, c’est le grand écart. Si
certaines applications n’en livrent aucune, d’autres se font littéralement
piller. Sur les 50 applications que nous avons étudiées, 6 donnent
l’e-mail de leurs utilisateurs, 9, leur mot de passe, 15, leur numéro
d’identifiant unique, et 26, les caractéristiques du smartphone (marque,
modèle, système d’exploitation et résolution de l’écran). Ici aussi, notre labo
a vu passer des flux indéchiffrables, ce qui n’augure rien de bon sur la nature
des données qu’ils contiennent.
Les résultats de notre test de 50 applications
Les
respectueuses : promesse tenue
Elles ne sont que 4 sur 50 à respecter pleinement la vie privée de leurs
utilisateurs.
Elles ne sont que 4 sur 50 à
respecter pleinement la vie privée de leurs utilisateurs. Il s’agit du jeu de
stratégie Rift Riff – aussi bien dans la version iOS que dans celle Android –,
du jeu de piano pour enfants Happytouch et de l’application Gifter, qui aide à
gérer ses cadeaux. Ces quatre applications font la promesse, sur leur page de
téléchargement, de ne collecter aucune donnée, et elles s’y tiennent. Rift Riff
et Happy Touch ne demandent même aucune autorisation tandis que
Gifter se contente d’un accès à la caméra du smartphone.
Les
raisonnables : demandes d’accès justifiées
Ici, la plupart des permissions d’accès requises
sont justifiées et les transferts de données, limités.
Rosytalk, qui permet de dialoguer avec un(e) ami(e) virtuel (le), BayaM, qui
propose les contenus du groupe de presse jeunesse Bayard, ou encore les jeux
Clash Royale et Royal Kingdom se contentent de demander à l’utilisateur son
accord pour lui envoyer des notifications. Quelques données partent également
vers des sociétés tierces, mais rien de dramatique. L’éditeur d’images Magic
Pic, quant à lui, souhaite accéder aux photos et aux vidéos du téléphone, et la
messagerie destinée aux enfants Xooloo Messenger Kids, à la caméra et au micro.
Cependant, là encore, ce n’est pas surprenant. Ces deux applications aussi
envoient des informations vers des serveurs tiers tout en restant raisonnables.
L’appli de bureautique WPS Office est celle qui réclame le plus d’autorisations.
Outre leurs échanges restreints avec des serveurs, toutes ces applications ont
tendance à bien informer les consommateurs sur leur politique de données et à
leur offrir la possibilité de choisir ce qu’ils acceptent de transmettre ou
pas. Une petite fausse note, toutefois, en ce qui concerne le jeu de musique
Piano pour bébé, qui ne fournit aucun renseignement sur ses pratiques en
matière de confidentialité.
Les
risquées : elles soufflent le chaud et le froid
Côté permissions, tout va bien. La majorité des
applications figurant dans notre tableau se contentent de demander à leurs
utilisateurs de consentir à l’envoi de notifications. Certaines se permettent
d’en ajouter d’autres, comme l’accès à la caméra, aux photos ou encore au
micro. Cependant, elles se limitent globalement à ce dont elles ont besoin pour
pouvoir fonctionner. Par contre, toutes contiennent des traqueurs, qui
transfèrent des flux de données importants vers les serveurs de sociétés
tierces, sans que les consommateurs n’en aient vraiment conscience. Méfiez-vous
également si vous comptez télécharger Monopoly Go ! Cette application
souhaite mettre la main sur tous vos contacts. Certes, cela peut se comprendre
si l’objectif est de trouver, parmi vos connaissances, de potentiels
partenaires de jeu, mais vous exposez les données de vos amis… L’éditeur de
photos YouCam Perfect, quant à lui, est le plus avide d’autorisations. Outre
les photos, les vidéos et la caméra, il veut accéder à la localisation du téléphone.
Or, cela ne se justifie pas vraiment. Ces deux dernières applis sont aussi
celles de cette catégorie qui transmettent le plus d’informations vers les
serveurs de l’éditeur.
Celles à éviter : gare à vos
données !
La politique en matière de données personnelles
des applis figurant dans ce tableau nous amène à les déconseiller. Déjà, côté
permissions, elles visent large. Sur ce point, mention spéciale à l’appli
d’apprentissage des langues Duolingo, qui s’approprie toutes les informations
du carnet d’adresses (nom, prénom, numéro de téléphone et adresse e-mail). Il y
a pourtant des moyens plus respectueux de la vie privée pour retrouver les
contacts de l’utilisateur… Ces éditeurs ont mis en place un véritable pillage des
données. Parfois pour leur propre compte, comme le fait notamment le réseau
social TikTok, mais le plus souvent au profit de sociétés tierces. Dans
certains cas, les flux sont transmis dans des formats indéchiffrables, ce qui
empêche de savoir quelles informations ont été livrées.
...Ram qui rame ?
