iO, la nouvelle app de Swisscom, transmet des données à des tiers à l'étranger [Actualisé]

Comme beaucoup de personnes, j'ai appris il y a plusieurs jours, avec une demi-surprise, que Swiccom venait de lancer une nouvelle application pour smartphone qui jouait directement dans la cour de Whatsapp et de Viber, pour ne citer qu'eux.

Sur le papier, cette application a de quoi séduire puisqu'elle permet de communiquer gratuitement (oralement ou par écrit) entre appareils iOS et Android ayant installé l'application, même si on est à l'étranger, que l'on soit client Swisscom ou non.

Cependant, comme à mon habitude, avant même de lancer l'application, je me suis penché sur les conditions générales d'utilisation d'iO. Rien que de très banal, en somme. À l'exception du point 5 sur la protection des données, où l'on trouve notamment ce paragraphe :

Pour évaluer les habitudes d’utilisation de l’app, Swisscom travaille en collaboration avec des sociétés étrangères, raison pour laquelle des données sont transférées à l’étranger. Swisscom veille à ce que les sociétés qu’elle mandate soient tenues d’assurer la protection et la sécurité des données de la même manière que Swisscom elle-même. Swisscom oblige les tiers à traiter les données uniquement de la façon dont elle est elle-même habilitée à le faire et ne leur communique que les données nécessaires à l’exécution de leur mandat. Si le client n’accepte pas le traitement de ces données, il ne peut pas utiliser l’app.

J'ai écrit à Swisscom afin d'obtenir des réponses à deux questions :

Qui sont ces sociétés étrangères ? Quelles sont ces données transmises à l'étrangers ?

Ma demande a été transmise au service juridique qui n'a pas (encore ?) répondu. J'attends toujours et vous communiquerai leur réponse, s'il y en a une.

A lire aussi :  Ghostery, un plug-in qui empêche d'être suivi à la trace sur le web

J'avais bon espoir de pouvoir me passer totalement d'une application comme Whatsapp ou iMessages qui font transiter et stockent mes communications sur des serveurs à l'étranger. Enfin une application suisse, offerte par l'opérateur historique, me suis-je dit ! Et qui n'a en principe aucune raison de faire transiter des données par l'étranger ou d'utiliser des services de tiers. Pourtant, il s'avère que c'est le cas. Dommage, Swisscom aurait pu marquer des points et vanter la confidentialité de son application. En plein scandale PRISM, cela aurait été un argument intéressant auquel les gens auraient été plus sensibles qu'avant.

[Mise à jour du 10 juillet 2013, 21h00]

Selon la NZZ, iO n'enverrait que des données fragmentées – ne permettant pas d'identifier qui se "cache" derrière ces informations – sur les serveurs de Crittercism et Localytics qui analyseraient les erreurs et problèmes rencontrés dans l'application et l'utilisation qui est faite de cette dernière. Selon Swisscom, aucune société européenne ne peut réaliser ces tâches.

Un utilisateur de l'application confirme qu'iO envoie des données "exhaustives" aux Etats-Unis, sur les serveurs d’Amazon (crittercism.com). Dans ces données, on trouverait notamment :

  • L'id du smartphone
  • L'orientation du smartphone
  • Le modèle du smartphone
  • La version de l'OS
  • Le timestamp (date et heure)
  • La langue
  • Diverses informations sur le WiFi (activé, connecté)
  • La capacité totale de la mémoire
  • La capacité totale de la SD Card
  • La capacité de libre
  • Diverses informations sur le réseau mobile (activé, connecté)
  • L’opérateur téléphonique

Alors que dans ses CGU, Swisscom annonce récolter lui-même certaines données, il semblerait qu'il en récolte d'autres et les transmettent à l'étranger.

François Charlet

François Charlet

200% juriste, 189% geek, 154% lecteur, 132% cinéphile, 76% gamer, 100% lui-même, et encore.

18 réponses

  1. Banshee70 dit :

    Bonjour,

    Maintenant que nous savons tout de Swisscom, cette entreprise diabolique, allons chez la concurrence : AOL, Orange, Sunrise, et cætera...
    Mais que croyez-vous, hommes et femmes crédules??? Que les autres compagnies sont là pour faire dans le social??? Je ne pense pas.

    Alors, à toutes les personnes qui veulent changer d'opérateurs: perte de temps, d'argent et remettre tous vos contacts et autres à jour... Bref, pas la joie!!!

    Ainsi, c'est avec joie que je vous annonce que JE reste chez Swisscom, à qui je fais confiance plus qu'à aucune autre compagnie!!

    Cela étant dit, à bon entendeur, Salut.

    BANSHEE70

    • Bonjour,

      Je n'ai nulle part dit ou conseillé qu'il fallait changer d'opérateur. Mon article avait pour but d'attirer l'attention des abonnés sur cette question, et de faire en sorte que Swisscom améliore cette pratique ou, au moins, se justifie. Les autres opérateurs ne sont peut-être pas meilleurs. Ici, avec iO, il s'agit uniquement d'un service de Swisscom, pas de la globalité de ses services.

      Je suis chez Swisscom depuis toujours, je n'ai pas (encore) l'intention de changer mais comme dans le cas présent, je n'utilise pas iO, ce qu'ils font avec cette application ne me fait ni chaud ni froid. Cependant, il serait bon que dorénavant, les opérateurs stockent nos données en Suisse et arrêtent de les transmettre à l'étranger.

      Cordialement,

      FC

  2. A mon avis, toutes les solutions d'échange de messages, données, etc. qui se targuent d'être sécurisées sont aussi (peu) fiables les unes que les autres. Rien n'empêchera jamais quelqu'un d'intercepter les données qui circulent entre votre terminal et celui d'une autre personne, qu'il y ait un serveur ou non. On ne sait pas par où passent les données, on sait seulement d'où elles partent et où elles arrivent. Le reste, mystère. Raison pour laquelle il faut les chiffrer, les sécuriser. Mais cela ne vous donne quand même pas une protection absolue. Comparez cela au secret bancaire suisse qu'on jugeait inviolable et intouchable il y a encore quelques années.

    Cela étant dit, j'utilise toujours Whatsapp et iMessage, ainsi que Skype. Toutes ces sociétés font transiter mes messages par leurs serveurs aux Etats-Unis, toutes chiffrent mes données... Mais pour discuter avec un ami ou planifier un rendez-vous, quoi de plus simple ? Faut-il revenir aux signaux de fumée ou au pigeon voyageur ? Non. Il faut juste être conscient des failles et défauts du système. Comme quand on envoie une lettre ou une carte postale, on sait que quelqu'un peu l'ouvrir et la lire, même si cela arrive rarement pour les lettres. Néanmoins c'est possible. C'est simplement quelque chose qu'il faut avoir à l'esprit.

    Quant à Swisscom, ils n'ont sans doute pas les ressources et la clientèle pour développer une application pour votre smartphone. La loi du marché, simplement...

  3. Audrey dit :

    Merci pour cet article édifiant!!! En résumé, Whatsapp et iO se valent en matière de confidentialité?

    Moi ce que je trouve scandaleux c'est que je ne peux plus profiter d'x-tra zone et que mon mobile (htc desire) ne supporte pas iO... la réponse de Swisscom? Prendre un abonnement plus cher avec plus de sms compris ou alors changer de téléphone... Et l'argent, il pousse sur les arbres maintenant?
    C'est décidé, je résilie mon abonnement et je passe à la concurrence... non mais!

  4. Swisscom est bien décevant avec cette nouvelle application; et vous serez certainement édifiés d'apprendre que c'est cette même société qui propose Office 365 hébergé en Irlande et à l'étranger .....

    En d'autres termes, je ne fais plus confiance à Swisscom pour assurer la confidentialité de mes données !

  5. Marc dit :

    Je pensais que l'utilise du UUID était interdite depuis iOS 5 ?

  6. Sylvain dit :

    Il y a quelque chose d'illogique car soit les données transmises ne sont pas des données personnelles (données fragmentées sans possibilité d'identification) et la LPD ne s'applique et donc cette disposition des conditions générales est inutile (et contre-productive en termes de popularité de l'application), soit il s'agit de données personnelles (notamment l'adresse IP et identifiant de l'appareil) et dans ce cas des données personnelles sont bien transmises à l'étranger.
    A noter encore que si Swisscom a obtnue des garanties suffisantes, notamment contractuelles, de ses partenaires qui lui permettent d'assurer un niveau de protection jugé adéquat à l'étranger (au sens de l'art. 6 LPD), elle n'aurait pas besoin d'obtenir le consentement des utilisateurs. Mais elle ne devrait pas non plus leur faire croire que leurs données ne quittent pas la Suisse!

  7. Locki dit :

    Je me suis aussi penché sur cette application et j'ai pu découvrir que l'application envoyait des informations plus qu'exhaustives sur les serveurs d'Amazon (crittercism.com) situé dans quel pays à votre avis ?? Les États-Unis .....

    Mais d'autres informations partent également vers les serveurs de Swisscom qui sont en Suisse (comme les images de profil). Je n'ai par contre pas encore pu voir où vont les messages envoyés (Suisse ou autres).

    Pour les infos transmises aux serveurs d'Amazon (liste non exhaustive):
    - L'id du smartphone
    - Orientation du smartphone
    - Le modèle du smartphone
    - La version de l'OS
    - Le timestamp (date + heure)
    - La langue
    - Diverses informations sur le WiFi (activé, connecté)
    - La capacité totale de la mémoire
    - La capacité totale de la SD Card
    - La capacité de libre
    - Diverses informations sur le réseau mobile (activé, connecté, ...)
    - L'opérateur téléphonique
    - ...

    • Merci beaucoup pour ces informations ! (qui sont fiables, j'espère ?)

      Dans les CGU d'iO, Swisscom dit récolter les données suivantes à des fins statistiques et d'amélioration :
      - le terminal utilisé par le client (y compris fabricant et modèle de l’appareil)
      - le navigateur utilisé par le client ainsi que la langue dans laquelle il est configuré
      - le système d’exploitation utilisé par le client
      - l’emplacement de l’IP (pays, région) et l’adresse IP
      - l’acceptation des cookies ou non par le client
      - la catégorie de feed-back ainsi que la date et l’heure

      Apparemment, Swisscom collecterait aussi d'autres données qui seraient transférées au USA. C'est bon à savoir. J'espère que j'aurai une réponse rapide de la part de Swisscom, tout cela ne me semble pas très honnête de leur part.

    • Locki dit :

      Les données sont fiables ;), car j'ai isolé l'application sur mon smartphone (je passe les détails techniques) et que j'ai regardé ce qu'elle faisait (où est-ce qu'elle envoie les informations et qu'est-ce qu'elle envoie).

      J'espère que Swisscom nous donnerons de bonnes explications concernant ces données.

      Si j'obtiens plus d'informations de mon côté, je n'hésiterai pas à les partager.

    • Merci beaucoup (encore) ! Je me suis permis d'intégrer tes informations dans l'article, en te donnant tout le crédit évidemment. J'espère que cela ne te dérange pas. :-)

    • Locki dit :

      Pas de soucis pour moi.

  8. Silvio dit :

    C'est juste pas croyable ! pouquoi Swisscom devait faire ça ? tu vas pas me dire uq'ils ne pouvaient pas stocker (si nécessaire) les data chez eux ! Mais je pense que c'est l'analyse des data qu'ils n'arrivent pas à faire, et même, ils veulent mettre de la pub dans leur app ? et de la pub ciblée ? C'est pas difficile pourtant ! Pour les bourbine, ils font de la pub pour rivella et l'aromat, pour les welsch du féchy et du saucisson vaudois, les VS du fendant et hop ! Non ?

    • On peut se poser la question... Ce qui me dérange, c'est que leurs conditions générales mentionnent les données que Swisscom récolte, mais disent que "des" données sont transmises à l'étranger à des tiers. Autrement dit, Swisscom peut tout à fait récolter les données qu'il dit récolter, et en transférer d'autres, sans qu'on le sache. Et ça c'est vraiment gênant. J'aimerais beaucoup une réponse, j'espère que les différents médias qui ont parlé de l'affaire hier auront un peu fait réagir Swisscom.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.