iO, la nouvelle app de Swisscom, transmet des données à des tiers à l'étranger [Actualisé]

Comme beaucoup de personnes, j’ai appris il y a plusieurs jours, avec une demi-surprise, que Swiccom venait de lancer une nouvelle application pour smartphone qui jouait directement dans la cour de Whatsapp et de Viber, pour ne citer qu’eux.

Sur le papier, cette application a de quoi séduire puisqu’elle permet de communiquer gratuitement (oralement ou par écrit) entre appareils iOS et Android ayant installé l’application, même si on est à l’étranger, que l’on soit client Swisscom ou non.

Cependant, comme à mon habitude, avant même de lancer l’application, je me suis penché sur les conditions générales d’utilisation d’iO. Rien que de très banal, en somme. À l’exception du point 5 sur la protection des données, où l’on trouve notamment ce paragraphe :

Pour évaluer les habitudes d’utilisation de l’app, Swisscom travaille en collaboration avec des sociétés étrangères, raison pour laquelle des données sont transférées à l’étranger. Swisscom veille à ce que les sociétés qu’elle mandate soient tenues d’assurer la protection et la sécurité des données de la même manière que Swisscom elle-même. Swisscom oblige les tiers à traiter les données uniquement de la façon dont elle est elle-même habilitée à le faire et ne leur communique que les données nécessaires à l’exécution de leur mandat. Si le client n’accepte pas le traitement de ces données, il ne peut pas utiliser l’app.

J’ai écrit à Swisscom afin d’obtenir des réponses à deux questions :

Qui sont ces sociétés étrangères ? Quelles sont ces données transmises à l’étrangers ?

Ma demande a été transmise au service juridique qui n’a pas (encore ?) répondu. J’attends toujours et vous communiquerai leur réponse, s’il y en a une.

J’avais bon espoir de pouvoir me passer totalement d’une application comme Whatsapp ou iMessages qui font transiter et stockent mes communications sur des serveurs à l’étranger. Enfin une application suisse, offerte par l’opérateur historique, me suis-je dit ! Et qui n’a en principe aucune raison de faire transiter des données par l’étranger ou d’utiliser des services de tiers. Pourtant, il s’avère que c’est le cas. Dommage, Swisscom aurait pu marquer des points et vanter la confidentialité de son application. En plein scandale PRISM, cela aurait été un argument intéressant auquel les gens auraient été plus sensibles qu’avant.

Mise à jour du 10 juillet 2013, 21h00

Selon la NZZ, iO n’enverrait que des données fragmentées – ne permettant pas d’identifier qui se “cache” derrière ces informations – sur les serveurs de Crittercism et Localytics qui analyseraient les erreurs et problèmes rencontrés dans l’application et l’utilisation qui est faite de cette dernière. Selon Swisscom, aucune société européenne ne peut réaliser ces tâches.

Un utilisateur de l’application confirme qu’iO envoie des données “exhaustives” aux Etats-Unis, sur les serveurs d’Amazon (crittercism.com). Dans ces données, on trouverait notamment :

  • L’id du smartphone
  • L’orientation du smartphone
  • Le modèle du smartphone
  • La version de l’OS
  • Le timestamp (date et heure)
  • La langue
  • Diverses informations sur le WiFi (activé, connecté)
  • La capacité totale de la mémoire
  • La capacité totale de la SD Card
  • La capacité de libre
  • Diverses informations sur le réseau mobile (activé, connecté)
  • L’opérateur téléphonique

Alors que dans ses CGU, Swisscom annonce récolter lui-même certaines données, il semblerait qu’il en récolte d’autres et les transmettent à l’étranger.