Études

Une application pour enfants sur l’App Store d’Apple enfreint les règles de la loi COPPA (Children’s Online Privacy Protection Act)

Une application pour enfants sur l’App Store d’Apple enfreint les règles de la loi COPPA (Children’s Online Privacy Protection Act)



Suite à notre récente étude qui a révélé que plus d'une application Google Play pour enfants sur quatre enfreint les règles de la loi COPPA (Children's Online Privacy Protection Act) , nous avons examiné comment les choses se comparent sur l'App Store d'Apple.

Nos résultats suggèrent que le même nombre d’applications (1 sur 4) sont potentiellement en violation des règles COPPA.



La COPPA est régie par la Federal Trade Commission (FTC) et impose un ensemble de règles aux développeurs/opérateurs de services en ligne et/ou de sites Web destinés aux enfants de moins de 13 ans.

Pour savoir combien des 400 meilleures applications pour enfants de l’App Store sont conformes à la COPPA, notre équipe a examiné la politique de confidentialité de chaque application (qui est liée à la liste de l’App Store). Nous avons examiné comment il était ou non conforme à la COPPA et quels types d'informations personnelles (IP) étaient collectées.



Près de 26 % des applications que nous avons étudiées présentaient une violation potentielle de la COPPA. La plupart d’entre eux n’ont pas suivi les bons protocoles, par ex. disposer d’informations claires et complètes sur la manière dont le consentement parental est obtenu. Nous avons également constaté que 16 applications n’avaient pas de politique de confidentialité à examiner en raison de liens rompus, de sites Web obsolètes et de liens vers d’autres zones du site Web qui ne comportaient pas de liens clairs vers une politique de confidentialité. Vingt-six autres applications n’avaient aucune politique relative aux enfants, laissant la collecte de données ouverte à l’interprétation.

Nous avons contacté Apple pour un commentaire sur notre étude et mettrons à jour cet article avec toute réponse.

Principales conclusions

  • 1 application pour enfants sur 4 (104 sur 403*) dispose de politiques de confidentialité suggérant des violations de la COPPA.
  • Près de la moitié des applications susceptibles d'enfreindre la COPPA le font parce qu'elles ne parviennent pas à mettre en œuvre les processus appropriés en matière de collecte de données, par ex. collecter automatiquement les adresses IP
  • 16 applications ne parviennent pas à se lier à une politique de confidentialité fonctionnelle
  • Cinq applications prétendent ne pas être destinées aux enfants, même si deux d'entre elles ont le mot « enfants » dans le titre
  • 70 % des applications présentant de possibles violations de la COPPA appartenaient à la catégorie principale « éducation »

*Pour dresser la liste des meilleures applications, nous avons utilisé les 20 meilleures dans chaque catégorie (par exemple, « dessiner et peindre », « pour les petits créatifs » et « les nouvelles applications que nous aimons », ainsi que les 50 meilleures applications payantes et gratuites) tout en supprimant tous les doublons. Cela nous a donné 403 applications à examiner au total.

Comment 26 % des applications pour enfants enfreignent-elles la COPPA ?

Comme nous l’avons déjà vu, la plupart des applications (47 %) qui pourraient enfreindre la COPPA le font parce qu’elles ne disposent pas des protocoles appropriés pour traiter les données des enfants. Dans de nombreux cas, il s’agit d’un manquement à fournir des informations claires sur la manière dont le consentement parental est obtenu (le cas échéant) et/ou sur le traitement automatique des adresses IP sans le consentement parental.

Violations de la COPPA sur l

Un grand nombre d’applications (21 %) collectent également une certaine forme d’informations personnelles, mais n’ont pas de politique relative aux enfants expliquant comment les données des moins de 13 ans sont traitées. Cela suggère qu’il est traité de la même manière que les adultes. Quatre pour cent supplémentaires des applications n’ont pas de politique relative aux enfants mais partagent les informations personnelles avec des tiers (ce que la plupart des 21 % collectant directement les informations personnelles le feront probablement aussi).

15 % des applications violant la COPPA ne parviennent pas à établir un lien avec une politique de confidentialité fonctionnelle. La plupart de ces liens sont des liens brisés (par exemple un message 404 ou des sites Web qui n'existent plus), tandis que certains renvoient vers une page d'accueil sans lien de politique de confidentialité clairement affiché. Si le lien renvoyait vers une page d’accueil mais qu’un lien vers la politique de confidentialité y était clairement affiché (comme c’était le cas avec cinq applications), celles-ci n’étaient pas considérées comme violant la COPPA si la politique de confidentialité répondait aux exigences.

Dans huit pour cent des cas, les applications imposaient aux enfants et/ou aux parents la responsabilité de ne pas envoyer de données. Enfin, 5 % des applications affirment ne pas être destinées aux enfants, même si le nom de l'application contient le terme 'enfants' ou des thèmes/images spécifiques aux enfants dans l'App Store.

Quelles données les applications violant la COPPA collectent-elles ?

Selon les politiques de confidentialité de chacune des applications qui peuvent ne pas adhérer à la COPPA, des identifiants persistants (par exemple des adresses IP) sont fréquemment collectés auprès des enfants. Les noms, adresses et informations de contact en ligne (par exemple, les adresses e-mail) sont également souvent collectés auprès des enfants.

Collection d

Comme les politiques de confidentialité de certaines applications étaient très vagues et/ou inexistantes, ces chiffres ne représentent qu’une partie de la collecte de données effectuée par ces applications violant la COPPA.

Le plus gros problème pour de nombreuses applications est la collecte d’identifiants persistants, car elles considèrent souvent ces données comme « non personnelles ». Cependant, les individus (ou au moins leur routeur WiFi) peuvent être identifiés par des adresses IP. Et les règles COPPA stipulent clairement que les identifiants persistantssontPI.

Qu'est-ce que la COPPA et comment s'applique-t-elle aux développeurs d'applications ?

Selon la FTC, « la COPPA impose certaines exigences aux opérateurs de sites Web ou de services en ligne destinés aux enfants de moins de 13 ans, ainsi qu'aux opérateurs d'autres sites Web ou services en ligne qui savent réellement qu'ils collectent en ligne des informations personnelles auprès d'un enfant de moins de 13 ans. 13 ans. »

La formulation « connaissances réelles » est celle où il y a un certain manque de clarté au sein de la COPPA car il n'y a pas de définition spécifique pour cela. C'est également la raison pour laquelle de nombreuses politiques de confidentialité utilisent la formulation « Nous nesciemmentcollecter des données sur les moins de 13 ans », par exemple.

Cependant, l’inclusion de cette déclaration dans une politique de confidentialité ne les exempte pas nécessairement des exigences de la COPPA. Par exemple, fin 2022, le fabricant de jeux vidéo Fortnite, Epic Games, a été condamné à payer une amende record de 275 millions de dollars pour sa violation de la COPPA.

La FTC a suggéré qu'Epic était « conscient que de nombreux enfants jouaient à Fortnite – comme le montrent les enquêtes auprès des utilisateurs de Fortnite, les licences et la commercialisation des jouets et des produits Fortnite, l'assistance aux joueurs et d'autres communications de l'entreprise – et collectait des données personnelles sur les enfants sans obtenir au préalable l'information des parents. consentement vérifiable.

Quelles exigences Apple impose-t-elle aux développeurs d’applications pour enfants ?

Selon article 5.1.4 des directives d’examen de l’App Store d’Apple :

« Applications de la catégorie Enfants ou celles qui collectent, transmettent ou ont la capacité de partager des informations personnelles (par exemple, nom, adresse, e-mail, emplacement, photos, vidéos, dessins, possibilité de discuter, autres données personnelles ou identifiants persistants utilisés). en combinaison avec l'un des éléments ci-dessus) provenant d'un mineur doit inclure une politique de confidentialité et doit se conformer à toutes les lois applicables en matière de confidentialité des enfants. Par souci de clarté, l’exigence de contrôle parental pour la catégorie Enfant n’est généralement pas la même que l’obtention du consentement parental pour collecter des données personnelles en vertu de ces lois sur la confidentialité.

Il suggère également que les métadonnées de l'application (telles que les noms d'application, les sous-titres, les captures d'écran et les aperçus) ne doivent pas inclure de termes tels que « pour les enfants », « pour les enfants » ou toute autre formulation impliquant que le public principal est constitué d'enfants, à moins que l'application ne soit destinée. pour la catégorie Enfants.

Sur les 104 applications que nous avons constatées comme étant potentiellement en violation de la COPPA :

  • 31 contenaient « enfants », « enfants » ou similaire dans le titre
  • 12 contenaient « enfants », « enfants » ou similaire dans l'icône du jeu
  • 32 contenaient « enfants », « enfants » ou similaire dans le sous-titre
  • 40 contenaient des « enfants », des « enfants » ou similaires dans les captures d'écran
  • 104 contenaient « enfants », « enfants » ou similaire dans la description

Apple est-il alors responsable en vertu de la COPPA ?

En tant qu’opérateur d’un service en ligne destiné aux enfants, oui. Et on ne peut pas non plus simplement affirmer que les développeurs doivent s’assurer que leurs applications sont adaptées aux enfants. Google a essayé de faire quelque chose de similaire dans le Procureur général du Nouveau-Mexique contre Tiny Lab Productions C’est le cas lorsqu’il a fait valoir qu’il était de la responsabilité des développeurs de garantir que leurs applications étaient adaptées aux enfants, comme ils l’avaient contractuellement déclaré. Mais le tribunal a rejeté cette décision.

Malheureusement, il existe encore des zones grises en ce qui concerne l'application de la COPPA et les responsabilités des propriétaires d'applications et des magasins d'applications. Cependant, alors que tant d’applications enfreignent non seulement les décisions de la COPPA, mais également les directives d’Apple, on pourrait dire que les mesures et réglementations actuellement en vigueur (de la COPPA et des magasins d’applications) ne font pas assez pour protéger les données des enfants. Une application indique même dans sa politique de confidentialité qu’elle n’est pas « familière avec tous les acronymes ci-dessus » lorsqu’elle demande si elle est conforme à diverses règles, notamment COPPA.

Comment avons-nous évalué si une application enfreignait ou non les décisions de la COPPA ?

Sur la base des directives de la COPPA, nous avons examiné les politiques de confidentialité de la liste des 403 applications répertoriées dans l'App Store pour voir si elles :

  • Les IP collectés auprès des moins de 13 ans étaient clairs, complets et détaillés.
  • A donné aux parents des informations claires sur les pratiques de collecte, d’utilisation et de divulgation des données des enfants
  • Décrit la nécessité d'obtenir le consentement parental avant de collecter des IP
  • Permis aux parents de consulter facilement les informations IP recueillies auprès de leurs enfants
  • Décrit clairement quelles données ont été collectées pour/par des tiers, comment ces données ont été partagées avec eux et qui était chacun des opérateurs (y compris le nom, l'adresse et l'adresse e-mail)

Selon la COPPA, PI est :

  • Un prénom et un nom
  • Une adresse physique
  • Coordonnées en ligne
  • Un nom d’écran ou d’utilisateur qui fonctionne comme informations de contact en ligne
  • Un numéro de téléphone
  • Un numéro de sécurité sociale
  • Un identifiant persistant, tel qu'une adresse IP, un identifiant unique d'appareil ou un numéro de client conservé dans un cookie
  • Un fichier photo, vidéo ou audio contenant l’image ou la voix de l’enfant
  • Données de géolocalisation

Méthodologie et limites

Nous avons effectué une recherche parmi les 20 meilleures applications de chaque catégorie sur l'App Store d'Apple (par exemple, « dessiner et peindre », « pour les petits créatifs » et « les nouvelles applications que nous aimons », ainsi que les 50 meilleures applications payantes et gratuites), tout en supprimant tout des doublons. Cela nous a donné 403 applications à examiner au total. Nous avons ensuite examiné les politiques de confidentialité de chacune de ces applications (sur la base du lien fourni dans l’App Store).

Comme nous nous concentrons sur les politiques de confidentialité, certaines applications peuvent fournir les protections parentales appropriées via des barrières parentales ou des formulaires de consentement envoyés par courrier électronique, même si leur politique de confidentialité s'est avérée inadéquate. De même, les politiques de confidentialité peuvent changer à tout moment, de sorte que certaines peuvent avoir été modifiées depuis que nos recherches ont été menées.

^