Près d'une application Google Play pour enfants sur quatre enfreint le code de conception adapté à l'âge de l'ICO.
Selon les données collectées par nos chercheurs, une application pour enfants sur quatre disponible sur Google Play n'est pas conforme au code de conception adapté à l'âge du bureau du commissaire à l'information du Royaume-Uni.
Le code de conception adapté à l’âge de l’ICO, ou code des enfants, comprend 15 normes auxquelles les services en ligne doivent adhérer. Cela inclut les développeurs d'applications ciblant les enfants de moins de 18 ans ainsi que celles qui peuvent attirer les enfants par le biais d'images ou de la terminologie utilisée par l'application.
En effectuant une recherche parmi les applications répertoriées dans la section enfants de Google Play, notre équipe a examiné les politiques de confidentialité d'un peu plus de 400 applications pour voir si les critères individuels stipulés par l'ICO étaient remplis ou non. Nous avons également examiné les informations personnelles collectées par les applications, y compris les identifiants persistants tels que les adresses IP (Internet Protocol).
Près de 25 % des applications que nous avons examinées se sont avérées en violation possible d’une manière ou d’une autre des directives de l’ICO.
La grande majorité a collecté un certain type de données personnelles sans une section claire et complète sur la protection des données des enfants dans leur politique de confidentialité. Ce qui est peut-être encore plus inquiétant, c'est que 5,5 % des applications que nous avons examinées prétendaient ne pas être destinées aux enfants, bien qu'elles soient présentées dans la section spécifique aux enfants sur Google Play et qu'elles comportent parfois le mot « enfants » dans le nom de l'application.
En juin 2021, notre équipe a mené une étude similaire mais sur la base des réglementations COPPA des États-Unis, il a été constaté qu'une application Google Play pour enfants sur cinq enfreignait ces règles. Les directives de l’ICO étant assez similaires à celles de la COPPA, le fait qu’une application sur quatre semble désormais enfreindre ces codes suggère que le problème s’aggrave plutôt que de s’améliorer.
Nous avons contacté Google au sujet de nos découvertes et un porte-parole nous a fourni ce qui suit :
Google Play prend au sérieux la protection des enfants sur sa plateforme. Play a mis en place des politiques et des processus pour aider à protéger les enfants sur notre plateforme et a investi des ressources importantes dans les fonctionnalités associées. Les applications qui ciblent les enfants doivent être conformes à notre Google Play Politique des familles , qui oblige les développeurs à respecter toutes les lois pertinentes et toutes les règles de Play. Politiques du programme pour développeurs , et impose des restrictions supplémentaires en matière de confidentialité, de monétisation et de contenu, comme l'interdiction de l'accès à des données de localisation précises. Les développeurs sont responsables de s'assurer que leurs applications sont conformes à toutes les lois en vigueur et adaptées à leur public cible, y compris les enfants.
Principales conclusions
- 1 application sur 4 (96) a des politiques de confidentialité qui suggèrent des violations de l'ICO
- Ces applications ont été téléchargées par plus de 383 millions d'utilisateurs
- 100 % des applications susceptibles de violer l'ICO ont reçu un badge « approuvé par des experts »
- 5,5 % des politiques de confidentialité que nous avons examinées suggéraient que les services n'étaient pas destinés aux enfants, même si tous, sauf un, avaient une classification d'âge PEGI 3 (convient à tous les âges). L’un d’entre eux était classé PEGI 7 (convient aux enfants de 7 ans et plus)
- Plus de 11 % des politiques de confidentialité des applications que nous avons étudiées collectaient des données personnelles sans politique spécifique aux enfants ou étaient vagues, sujettes à interprétation ou peu claires. 4 % supplémentaires ont des pratiques de collecte de données sans l'autorisation parentale/les protocoles appropriés (par exemple, consentement clair)
- 19 applications appliquant de bons principes de protection des données des enfants ont mentionné la collecte d'adresses IP comme des données « non personnelles », bien que cela soit stipulé comme données personnelles par l'ICO et dans le RGPD.
Comment 24 % des applications pour enfants enfreignent-elles potentiellement l’ICO ?
Pour voir comment les applications peuvent violer le code de l’ICO, nous avons créé six catégories et placé chaque application incriminée dans l’une de ces catégories. C'étaient:
- L'application prétend ne pas être destinée aux enfants (mais collecte des données personnelles)
- L'application n'a pas de politique relative aux enfants mais collecte une certaine forme de données personnelles/est ouverte à l'interprétation (peut également être partagée avec des tiers)
- L'application n'a pas de politique relative aux enfants ni de collecte de données, mais des tiers peuvent collecter des données
- L'application contient certaines protections de confidentialité des données, mais demande aux enfants d'obtenir l'autorisation parentale avant de télécharger ou de ne pas soumettre de PI, ou elle impose aux parents la responsabilité de surveiller l'utilisation de l'application par leur enfant ou leur demande de contacter pour plus d'informations sur les principes de confidentialité.
- L'application collecte des données sans autorisation parentale/sans les bons protocoles. Par exemple, certaines applications incluent des sections sur la confidentialité des données et/ou suggèrent qu'elles sont « conformes à la COPPA ». Mais conformément aux règles de l'ICO, elle doit donner une indication claire de ses principes de protection des données lors de la collecte de certaines données. Dire simplement qu’il adhère à la COPPA ou « protège les données des enfants » n’est pas suffisant
- La politique de confidentialité ne fonctionne pas
Comme mentionné ci-dessus, et comme nous pouvons le voir dans le tableau ci-dessous, près de la moitié des applications qui enfreignent potentiellement l'ICO collectent des données sans avoir mis en place une politique de confidentialité complète et spécifique aux enfants. Lorsqu’une politique de confidentialité stipule que l’application collecte certains renseignements personnels, elle doit également inclure une section distincte et détaillée sur la manière dont la confidentialité des données des enfants est garantie. Si absolument aucune donnée personnelle n’était collectée, une telle section ne serait pas nécessaire.
23 % des applications présentant de possibles violations de l'ICO suggèrent que l'application n'est pas destinée aux enfants. Ces politiques de confidentialité incluent souvent des formulations telles que « Nos services ne s'adressent aux personnes de moins de 18 ans », même si la classification par âge de leur application (qui est soumise par les développeurs de l'application et examinée par Google) a été étiquetée comme PEGI 3 (convient à tous) par tous. les applications sauf une, qui était destinée aux enfants de 7 ans et plus.
18 % des applications susceptibles de violations ne parviennent pas à mettre en œuvre les protocoles appropriés pour collecter les données des enfants. Cela pourrait être dû à une politique vague qui ne précise pas comment les données des enfants sont protégées. Par exemple, neuf applications appartenant à six développeurs différents comportaient la déclaration « Nous nous conformons à la loi sur la protection de la vie privée des enfants en ligne (COPPA) », mais ne précisaient pas comment elles se conformaient ni quelles pratiques étaient en place. Ils semblaient également avoir des phrases incroyablement similaires (mot pour mot dans de nombreux cas), ce qui suggère qu'une partie du texte avait été copiée.
3 % des applications ne collectent pas de données elles-mêmes mais travaillent avec des tiers qui le font potentiellement (il s'agit principalement de publicités et d'analyses de tiers). L'ICO indique que, dans de tels cas, une politique de confidentialité complète est requise, ainsi que des détails détaillés sur les tiers avec lesquels les données sont partagées. Les développeurs doivent également s'assurer que ces tiers adhèrent aux directives de l'ICO.
Cinq pour cent supplémentaires des politiques de confidentialité des applications tentent de suggérer que les parents ou les enfants devraient être responsables de garantir la confidentialité des données de l'utilisateur. Et trois applications n’ont pas réussi à afficher une politique de confidentialité fonctionnelle, soit parce que le site Web n’est pas disponible, soit parce que le texte n’est pas disponible sur le lien du site Web fourni.
Enfin, comme mentionné ci-dessus, 19 applications appliquant de bons principes de protection des données des enfants ont mentionné la collecte d'adresses IP comme des données « non personnelles », bien que cela soit stipulé comme données personnelles par l'ICO et dans le RGPD. Nous ne pensons pas qu'il s'agisse de violations totales de l'ICO, car les politiques de confidentialité des développeurs protégeraient probablement l'utilisation des adresses IP par les développeurs eux-mêmes ou par des tiers, mais il est toujours préoccupant de constater le manque de compréhension des adresses IP comme étant personnelles. données – quelque chose que nous discutons plus en détail ci-dessous.
100 % des applications susceptibles de violer l’ICO sont « approuvées par les enseignants »
Sur la page de destination principale des applications pour enfants du Play Store, Google stipule que toutes les applications et tous les jeux qui y sont répertoriés sont approuvés par des experts. Lorsqu'une application est approuvée par des experts (également appelée approuvée par un enseignant), elle comporte un badge (une icône de médaille avec une coche), indiquant qu'elle aurait fait l'objet d'un niveau élevé de contrôles pour garantir qu'elle répond aux normes de Google pour les enfants. ' applications.
Dans Google Programme « Approuvé par les enseignants » , les applications qui ont déjà passé le premier niveau d'examen de Google (pour s'assurer qu'elles correspondent à la bonne catégorie d'âge) passent par un processus supplémentaire pour recevoir le badge approuvé par un expert. Au cours de cette étape, les applications sont évaluées sur plusieurs critères, notamment leur attrait pour les enfants, leur adéquation à leur âge (par exemple avec les publicités et les achats intégrés) et la qualité de leur conception.
Comme toutes les applications de cette page d'accueil reçoivent le badge approuvé par des experts, cela signifie que toutes les applications violant l'ICO que nous aurions pu trouver ont également cette distinction. Cela suggère donc que même les applications qui prétendent ne pas être destinées aux enfants ou ne disposer d’aucune protection spécifique aux enfants ont été soumises à deux contrôles de qualité et ont été approuvées comme étant adaptées aux enfants.
Quelles données les applications collectent-elles ?
Selon les informations stipulées dans leurs politiques de confidentialité, les applications susceptibles de violer l'ICO collectent les données suivantes :
Comme nous l’avons déjà noté, le plus gros problème pour la plupart des applications est la collecte d’adresses IP (ou d’autres identifiants persistants). Dans de nombreux cas, celles-ci sont classées comme informations « non personnelles », surtout si elles ne sont pas utilisées avec d’autres données personnelles. Cependant, les adresses IP peuvent souvent être utilisées pour localiser des individus, ou du moins des routeurs Wi-Fi. Et l'ICO stipule clairement dans ses lignes directrices 'Ce qui identifie un individu peut être aussi simple qu'un nom ou un numéro ou peut inclure d'autres identifiants tels qu'une adresse IP ou un identifiant de cookie, ou d'autres facteurs.'
Les détails techniques, les zones grises et le jargon juridique
Afin de comprendre pourquoi tant d’applications pour enfants semblent enfreindre directement les directives de l’ICO, examinons ce que les directives appliquent, comment elles ont été mises en œuvre et quelles mesures Google prend pour protéger l’utilisation des applications par les enfants.
Quel est le code de conception ICO adapté à l’âge ?
En vertu de la loi sur la protection des données de 2018, l'ICO doit disposer de quatre codes de bonnes pratiques. L’un d’eux est la conception adaptée à l’âge. Ce code statutaire contient 15 normes que les services en ligne (y compris les applications, les jeux, les services d'information et les jouets et appareils connectés) doivent respecter. Cela garantit que ces services protègent les données en ligne des enfants en se conformant aux lois pertinentes sur la protection des données.
À qui s’applique le code de conception ICO adapté à l’âge ?
Selon l'ICO, le code s'applique aux « services de la société de l'information susceptibles d'être accessibles aux enfants ». Il ajoute également que la majorité des services à but lucratif sont classés comme « services de la société de l'information » et sont donc tenus de se conformer au code.
Ainsi, si une application est susceptible d’être consultée par un enfant de moins de 18 ans, même si elle ne lui est pas spécifiquement destinée, elle doit probablement respecter le code.
Le code ne s’adresse pas uniquement aux entreprises basées au Royaume-Uni. Au contraire, toute entreprise non britannique qui traite les données d’enfants britanniques devrait s’y conformer.
Que doivent faire les développeurs d’applications pour s’assurer qu’ils respectent le code ?
Pour rester dans le code, les développeurs d'applications doivent avoir :
- Une carte des données personnelles qu'ils collectent auprès des enfants britanniques
- Verification de l'AGE
- Services de géolocalisation désactivés par défaut
- Aucune technique de coup de pouce susceptible d’encourager les enfants à transmettre davantage de données personnelles
- Un niveau de confidentialité élevé par défaut
Exigences de Google concernant les applications pour enfants (et comment il examine ces applications)
Le Politiques familiales de Google Play suggère que les développeurs doivent indiquer qui est leur public cible en sélectionnant l'une des tranches d'âge fournies avant de publier l'application. De même, même si une application n'est pas destinée aux enfants par les développeurs mais contient une terminologie ou des images qui peuvent être considérées comme ciblant les enfants, cela peut avoir un impact sur le public que Google Play estime que l'application cible.
Si une application cible plusieurs tranches d’âge, il faut s’assurer qu’elle convient à tous ces utilisateurs. Et lorsqu’une application est jugée adaptée à tous les groupes d’âge, elle doit avoir été conçue pour inclure et protéger tous les âges.
Google a également un certain nombre d'autres stipulations pour les applications pour enfants et familiales. Cela inclut la divulgation de toute information personnelle et/ou sensible concernant les enfants. Les applications doivent également être conformes aux lois et réglementations en vigueur, notamment la loi américaine sur la confidentialité et la protection des enfants en ligne (COPPA) et la loi européenne sur la protection des données personnelles en ligne. Règlement général sur la protection des données (RGPD), sur lequel se basent les lignes directrices de l’ICO.
Alors, à qui incombe la responsabilité d’adhérer aux directives de l’ICO ? Celui de Google ? Les développeurs d’applications ? Ou les deux?
Comme les lignes directrices de l’ICO n’ont qu’un peu plus d’un an, il n’existe pas encore d’exemples de cas spécifiques. Cependant, à l'occasion du premier anniversaire du code de conception adapté à l'âge, l'ICO a suggéré il s'agissait « d'examiner dans quelle mesure plus de 50 services en ligne différents se conforment au code, avec quatre enquêtes en cours. Nous avons également audité neuf organisations et évaluons actuellement leurs résultats.
En fin de compte, le livre commence par la création des applications par les développeurs et leur obligation de se conformer au code statutaire de l’ICO. Mais en approuvant et en examinant chacune de ces applications (et, dans la plupart des cas, en « approuvant les applications par des experts »), Google peut avoir une certaine responsabilité en vertu de l'ICO lors de la publication des applications sur son Play Store.
Les pouvoirs d’application de l’ICO lui permettent d’imposer des amendes allant jusqu’à 17,5 millions de livres sterling ou 4 % du chiffre d’affaires mondial annuel d’une organisation, selon le montant le plus élevé.
Comment avons-nous établi si une application enfreignait ou non les directives de l'ICO ?
En utilisant le La liste des quinze normes de l'ICO , nous avons examiné les politiques de confidentialité de 402 applications apparaissant sur l'onglet « Enfants » de Google Play. Nous avons évalué chaque application pour voir si elle :
- Réalise des analyses d’impact sur la protection des données
- Dispose d’une politique de confidentialité transparente, adaptée à la tranche d’âge ciblée
- Contient une utilisation préjudiciable des données
- Possède des paramètres par défaut qui garantissent une confidentialité élevée (et l'opt-in est utilisé pour tous les contrôles de confidentialité)
- Offre une collecte de données minimale
- Partage les données de manière à garantir le meilleur intérêt de l’enfant
- Garantit que les tiers adhèrent aux principes de protection de la vie privée
- Collecte la géolocalisation d'un utilisateur
- Décrit les contrôles parentaux en place (adaptés à la tranche d'âge ciblée)
- S'assure que le profilage est désactivé par défaut et clairement décrit
- Dispose d'une politique de confidentialité claire concernant les appareils/jouets connectés (le cas échéant)
- Propose des outils en ligne pour exercer les droits en matière de confidentialité des données, par ex. droit de supprimer ou de modifier les données
Selon l'ICO et le RGPD, les données personnelles sont des informations relatives à une personne identifiée ou identifiable. Cela inclut le nom d’une personne, par exemple, mais, comme nous l’avons déjà souligné, cela inclut également d’autres identifiants, comme une adresse IP. C’est dans ce domaine que de nombreuses applications ne parviennent pas à fournir les dispositions correctes et constituent donc une possible violation des directives de l’ICO.
Méthodologie et limites
Nous avons cherché dans Onglet Google Play Store pour les enfants , en sélectionnant 50 applications dans chaque catégorie individuelle, par ex. « applications familiales », « jeux enrichissants » et « jeux d'action pour enfants ». Dans certains cas, les applications peuvent avoir été dupliquées dans plusieurs catégories ou une catégorie peut ne pas contenir 50 applications, auquel cas jusqu'à 50 ou autant d'applications disponibles ont été rassemblées. Ensuite, nous avons examiné chacune des politiques de confidentialité répertoriées pour les 402 applications pour les détails susmentionnés.
Comme nos recherches sont basées sur les politiques de confidentialité de ces applications, nous ne pouvons garantir que les protections répertoriées sont réellement mises en œuvre par chacun de ces développeurs d’applications. Les politiques de confidentialité sont également susceptibles de changer à tout moment et peuvent donc avoir changé depuis que nos recherches ont été menées. De même, comme toutes les applications répertoriées sur cette page de destination sont « approuvées par des experts », cette étiquette peut être supprimée si l'application n'est plus répertoriée sur la page. Cependant, toutes les applications examinées en janvier et février lors de cette recherche contenaient le badge « approuvé par des experts ».
Chercheur de données :Charlotte Bond