Auto-certification : la solution pour protéger les enfants de la collecte de données sensibles

L’auto-certification des applications par les développeurs permet-elle de protéger les données sensibles des enfants ? C’est l’objet de l’étude menée par Vincent Lefrère et Grazia Cecere, respectivement Maître de Conférences en économie numérique et Professeure en économie à Institut Mines-Télécom Business School. Dans un article publié dans la revue niveau 4 Academy of Management Perspectives, ils présentent leurs travaux sur la protection des données sur les applications mobiles destinées aux enfants.

Dans nos sociétés hyperconnectées, la collecte de données est devenue monnaie courante. Intrusif, le phénomène touche tout le monde ; même les enfants y sont exposés, ce qui pose un problème de sécurité évident et fait de la question un enjeu majeur de notre époque. L’équipe de recherche s’est donc penchée sur la question de l’influence de l’auto-régulation et du système Designed For Families (DFF) proposé par certaines plateformes. Google Play, par exemple, propose aux développeurs de souscrire au programme DFF, conçu pour rendre disponible les applications aux enfants et protéger les données sensibles de ces derniers. À travers cette initiative, les développeurs acceptent de se soumettre à la loi américaine sur la protection des données des enfants de moins de 13 ans : le Children’s Online Privacy Protection Act(COPPA).

La COPPA, qu’est-ce que c’est ?

La COPPA est une loi américaine de 1998 visant à protéger les données sensibles des enfants sur Internet. Elle concerne la collecte d’informations sur les mineurs de moins de 13 ans par des personnes sous le joug de la juridiction américaine. Cette loi définit en dix critères ce qu’est une donnée sensible chez un mineur : nom, prénom, adresse physique (nom de rue, de commune), informations de contact en ligne (mail, téléphone, etc.), nom d’utilisateur pouvant servir de contact en ligne, numéro de téléphone, de sécurité sociale, identifiant permettant de reconnaître l’utilisateur (adresse IP, numéro client, etc.), photographie, vidéo ou enregistrement audio contenant l’image ou la voix d’un enfant et données concernant l’enfant ou son entourage recueillies auprès du mineur visé par le contenu.

Ce travail est d’autant plus actuel que pendant la recherche, plusieurs grandes entreprises se sont vues condamnées pour le non-respect des règles imposées par le COPPA. Par exemple, YouTube et Google ont dû s’acquitter d’une amende de 136 millions de dollars en avril 2019 pour la violation du COPPA. ByteDance, société-mère de TikTok, a également été condamné à une amende de 5.7 millions de dollars pour ne pas avoir requis l’accord parental avant de collecter les données des usagers mineurs.

Une étude empirique de la question

Cette recherche s’est constituée autour d’une collecte de données menée pendant trois ans auprès de plus de 27 000 applications, 11 000 développeurs de 128 pays pour un total d’1 509 000 observations faites entre 2018 et 2021. L’équipe de recherche a observé que 70,6% des applications s’adressant aux moins de 13 ans ont rejoint le DFF. On remarque aussi que sur toutes les applications comprises dans le DFF, seules 23 % demandent au moins une donnée sensible alors que ce chiffre passe à presque 45% pour celles qui n’ont pas rejoint le programme.

Un des objectifs de cette recherche est de montrer où le DFF est mis en place dans le monde, comment il est appliqué en fonction du pays et s’il a un impact réel sur la quantité de données collectée. On observe que :

• Les pays de l’Organisation de coordination et de développement économique (OCDE), qui appliquent le DFF, collectent moins de données qu’ailleurs dans le monde. C’est particulièrement vrai pour les Etats-Unis.
• Les autres pays ayant intégré le programme DFF dans leur législation observent aussi une diminution de la collecte des données sensibles.
• Seules les autorités complètement indépendantes (comme l’Australie, le Maroc ou l’Albanie) avec ou sans le DFF, continuent à collecter plus de données sensibles que les pays de l’OCDE.

Résultats

Cette étude est une première tentative de compréhension de la complexité du marché des applications pour enfants et des effets des régulations nationales sur les décisions des entreprises du monde entier. La spécificité de ce papier se trouve aussi dans son ancrage empirique : il apporte une vision statistique chiffrée.

De futures recherches pourraient se concentrer sur la relation entre protection des données et qualité des applications pour enfants. En effet, excepté pour l’amélioration de l’application et la prédiction des comportements utilisateurs, l’étude ne précise pas les raisons qui poussent les développeurs à collecter ces données.

Les chercheurs montrent dans ce papier que l’auto-certification au programme DFF a un effet bénéfique sur la collecte des données auprès des mineurs. Le programme DFF et les textes auxquels il se rattache aident à mieux protéger les données sensibles des enfants et réduisent la collecte abusive de données. Ce programme permet aussi de mettre en avant ces applications puisque ces dernières voient une légère croissance de leur nombre de commentaires utilisateurs après qu’elles l’aient rejoint. Enfin, ces travaux montrent qu’il est plus efficace de laisser le choix aux développeurs de rejoindre ou non le programme DFF et de respecter les lois en vigueur plutôt que d’imposer ces dernières sans consultations.

Grazia Cecere, Vincent Lefrere, Fabrice Le Guel, Catherine Tucker, and Pay-Ling Yin, 0: Privacy and Platform Governance: The Case of Apps For Young Children. AMP, 0, https://doi.org/10.5465/amp.2023.0435