Vandaag, noyb drie klachten ingediend in Frankrijk tegen Fnac (de grootste elektronicawinkel in Frankrijk), de onroerend goed app SeLoger en de fitness app MyFitnessPal. De apps van de bedrijven hebben illegaal toegang tot persoonlijke gegevens van gebruikers en delen deze met derden voor geavanceerde analyses zodra de apps worden geopend. Gebruikers hebben niet eens de keuze om toestemming te geven of het delen van hun gegevens te voorkomen. Deze aanpak is onwettig.
- Voorbeeldklacht tegen Fnac (FR)
- Engelse autotranslatie van de voorbeeldklacht
- Methodologie en technische specificaties voor het vastleggen en analyseren van netwerkverkeer
Standaard transmissie. De klager installeerde de populaire apps MyFitnessPal, Fnac en SeLoger op zijn Android-smartphone. Eenmaal geopend, begonnen de applicaties onmiddellijk met het verzamelen en delen van persoonlijke gegevens, waaronder de unieke advertentie-ID (AdID) van Google, het model en merk van hun apparaat en het lokale IP-adres met derden. Dergelijke uitgebreide gegevensverzameling maakt profilering van gebruikers mogelijk om hen gepersonaliseerde advertenties en marketingcampagnes te tonen om de inkomsten voor de genoemde bedrijven te verhogen.
Geen toestemming. Volgens de ePrivacy-richtlijn is de loutere toegang tot of opslag van gegevens op het eindapparaat van de gebruiker alleen toegestaan als gebruikers hun vrije, geïnformeerde, specifieke en ondubbelzinnige toestemming geven. Twee van de drie mobiele apps toonden geen toestemmingsbanner bij het starten van de app. De derde app toonde een banner die de klager in theorie de keuze gaf om al dan niet toestemming te geven. In werkelijkheid begon de overdracht van hun persoonlijke gegevens zonder enige interactie van hun kant - en voordat ze zelfs maar de kans hadden gehad om over toestemming na te denken.
Ala Krinickytė, advocaat gegevensbescherming bij noyb: "Elke app heeft toestemming nodig om je te kunnen volgen. In plaats daarvan gebruiken ze standaard "gegevensverzameling en tracking". In tegenstelling tot tracking op websites is er op mobiele apps tot nu toe bijna geen handhaving geweest."
Gedetailleerde tracking. Informatie zoals de AdID is uniek en gekoppeld aan het apparaat van een specifieke persoon. Dit stelt adverteerders en andere derde partijen in staat om gebruikers te identificeren en hen in de toekomst te targeten. Sommige aanbieders van apps traceren zelfs het gedrag van gebruikers buiten hun applicaties. Hierdoor kunnen ze de verzamelde gegevens verrijken met nog meer informatie over het leven van de gebruiker.
Eerste resultaat van een breder onderzoek. De manier waarop deze apps omgaan met de gegevens van hun gebruikers is symptomatisch voor een breder probleem in de omgeving van mobiele apps. Hoewel deze applicaties vaak miljoenen gebruikers hebben, nemen ze niet de moeite om zich aan de EU-privacywetgeving te houden - maar delen ze privégegevens met derden (waaronder advertentiemakelaars) om geld te verdienen met de gegevens van hun gebruikers. Volgens onderzoek van Konrad Kollnig en anderen gaf slechts 3,5% van alle apps gebruikers een echte keuze om toestemming te weigeren.
Ala Krinickytė, advocaat gegevensbescherming bij noyb: "Het illegaal verzamelen en delen van persoonsgegevens van gebruikers is een wijdverbreid probleem in de omgeving van mobiele apps. Het is van groot belang dat de toezichthoudende autoriteiten nu passende maatregelen nemen om een einde te maken aan deze praktijk."
Analyse van schendingen van de privacy van mobiele apps. Om bewijs voor de bovengenoemde schendingen te verkrijgen, was een technische analyse van het netwerkverkeer van de smartphone apps nodig. Het vastleggen en analyseren van het netwerkverkeer werd uitgevoerd met behulp van de PiRogue Tool Suite, ontwikkeld door Defensive Lab Agency. De gedetailleerde methodologie vind je hier.
Verwijdering van gegevens en een mogelijke boete. noyb verzoekt de CNIL om MyFitnessPal, Fnac en SeLoger te bevelen alle gegevens te verwijderen die onrechtmatig zijn verwerkt. Daarnaast moeten alle ontvangers van de gegevens van de klager worden geïnformeerd dat de klager heeft verzocht om de verwijdering van alle koppelingen, kopieën of reproducties van hun persoonlijke gegevens. Gezien de ernst van de beschuldigingen en het potentieel grote aantal betrokken personen, stelt noyb ook voor dat de bevoegde autoriteit een boete oplegt. Deze klachten zijn nog maar het begin: noyb is van plan om in de toekomst meer klachten in te dienen tegen bedrijven van mobiele apps om het illegaal delen van gebruikersgegevens een halt toe te roepen.
Erkenningen
- Het vastleggen en analyseren van het netwerkverkeer werd uitgevoerd met behulp van de PiRogue Tool Suite, ontwikkeld door Defensive Lab Agency
- Dr. Konrad Kollnig leverde zijn uitgebreide kennis en expertise op het gebied van tracking in mobiele apps
- Tracking Weasel droeg bij aan waardevolle inzichten in het onderwerp van trackerbibliotheken en tracking in mobiele apps.