Bolt, un VTC dopé aux traqueurs
Après l'analyse de l'appli IPTV Molotov, des applis de chat vidéo Houseparty et Zoom, du site d'e-commerce La Fnac, de l'appli de partage d'adresses Mapstr et de trajets Citymapper, regardons maintenant un VTC bien connu : Bolt (ex Taxify ou Txfy).
Bolt est une société estonienne qui s'est rapidement étendue dans le monde pour être présent dans plus de 150 villes dans 35 pays en décembre 2019. Un des principaux concurrents d'Uber, il propose aussi un service de trottinettes ainsi que de la livraison à domicile ("Bolt Food"). Afin d'analyser le tracking présent sur son appli iOS, j'ai suivi les étapes suivantes :
- Fermeture des différentes applications en arrière plan.
- Lancement de l'application Charles Proxy et activation du suivi.
- Lancement de l'application Bolt, puis navigation dans l'App : tapez juste une adresse de destination, sans commander de course.
- Export des logs de ma session Charles Proxy vers mon ordinateur, afin de facilement analyser les requêtes envoyées par Bolt.
Plusieurs sociétés tierces vous pistent donc, grâce à Bolt :
- Google : via Firebase Crashlytics (rapport de crashs) et Firebase Remote Config (permet de personnaliser Bolt sans avoir à redéployer l'appli). Pas de surprise en ce sens où Google est présent dans la majorité des Apps. Mais Bolt va plus loin, car il ne se contente pas d'envoyer à Firebase vos données pseudonymisées (identifiants), mais aussi des données nominatives : votre prénom, votre nom, votre adresse email et votre numéro de téléphone.
- Appsflyer : outil d'analytics et d'attribution, permet à Bolt de comprendre quelles campagnes publicitaires fonctionnent.
- Segment : le "Tag Manager" déjà évoqué dans l'article sur HouseParty, véritable hub de vos données personnelles. Segment est là pour transmettre votre parcours sur l'appli Bolt et votre profil utilisateur à d'autres sociétés de marketing. Ici Bolt envoie entre autres à Segment votre prénom, votre nom, votre email, votre numéro de téléphone, mais aussi votre géolocalisation GPS (longitude, latitude).
- CleverTap : via le domaine wzrkt.com, outil d'analytics et de messaging personnalisé pour applications. Ici aussi, Bolt envoie votre prénom, votre nom, votre email, votre numéro de téléphone, mais aussi votre géolocalisation GPS (longitude, latitude).
- Tune : outils d'attribution, permet à Bolt de comprendre quelles campagnes publicitaires fonctionnent.
Une politique de confidentialité floue, en contradiction avec la RGPD
Bolt bafoue la RGPD en envoyant mes données personnelles à de multiples sociétés tierces, sans me demander mon consentement ni même m'informer au préalable. Plus grave, comme nous venons de le voir, Bolt fait fuiter des données nominatives (nom, email), personnelles (numéro de téléphone) et sensibles (géolocalisation) à plusieurs tiers. Lisons maintenant sa politique de confidentialité.
Sur la page support "Collecte et traitement des données personnelles", il était indiqué (l'article a maintenant disparu) :
Avec qui les données sont-elles partagées ? Vos données (nom, géolocalisation) ne sont révélées qu'à un chauffeur inscrit sur la plateforme Bolt et uniquement pendant la durée du trajet. Votre numéro de téléphone n'est pas visible du chauffeur. Si vous avez oublié un objet à la fin de la course, contactez notre service client via votre App. Pour obtenir plus de détails sur le traitement de vos données personnelles, veuillez vous reporter à notre Politique de confidentialité pour les passagers.
Comme vu précédemment, ceci est un mensonge par omission : votre nom et géolocalisation, ainsi que votre numéro de téléphone et votre email sont partagés avec d'autres sociétés telles que Google, Segment et CleverTap.
Si l'on regarde maintenant la politique de confidentialité pour les passager, l'information est là encore minime, on peut lire dans la section 4. Destinataires :
Selon la localisation du passager, les données personnelles peuvent être divulguées aux sociétés et partenaires du groupe Bolt Technology OÜ (filiales locales, représentants, affiliés, agents, etc.). Le traitement des données personnelles par les sociétés et partenaires du groupe Bolt Technology OÜ se fera dans les mêmes conditions que celles établies dans la présente déclaration de confidentialité.
Qui sont ces "sociétés et partenaires" ? Quelles sont les bases légales de traitement ? Bolt n'apporte aucune précision.
Un transfert d'informations personnelles nominatives à Google
Bolt utilise la boite à outil de Google à destination des développeurs d'App : Firebase. Vos données personnelles fuitent via l'appel au domaine https://firebaseremoteconfig.googleapis.com, il s'agit de l'outil Remote Config qui permet à Bolt de personnaliser son appli sans avoir à redéployer l'application.
Différents cas d'usages sont gérés par Remote Config, tels que l'A/B testing, le lancement de versions beta, du messaging différencié selon la langue de l'utilisateur, etc. Des cas d'usages qui ne devraient pas nécessiter de fuiter des données personnelles nominatives.
Si on lit la documentation de Remote Config, Google ne s'étend pas sur le type de données transmises, seulement :
Don't store confidential data in Remote Config parameter keys or parameter values. It is possible to decode any parameter keys or values stored in the Remote Config settings for your project.
C'est pourtant ce que Bolt fait avec mes données personnelles, que je considère comme confidentielles : nom, email et numéro de téléphone. On note aussi dans la documentation de Remote Config que celui-ci communique bien avec Google Analytics (qui, dans sa version pour Applis, fait partie de la boite à outil Firebase) :
You can use Remote Config to provide variations on your app's user experience to different segments of your user base by app version, by Google Analytics audience, by language, and more.
Si on lit maintenant la page "Protéger vos données" de Firebase spécifique à Google Analytics :
Interdiction d'envoyer des informations personnelles Nos contrats interdisent aux clients d'envoyer des informations personnelles à Google Analytics. Les clients doivent suivre ces bonnes pratiques pour s'assurer qu'aucune information personnelle n'est envoyée à Google Analytics.
Et voici l'interprétation (restrictive) des informations personnelles selon Google :
Il semble donc que Bolt, en plus de ne pas respecter la RGPD, ne respecte pas le contrat Google Firebase. Et que Google n'a pas pris les mesures pour contrôler l'utilisation de ses outils à destination des entreprises.
Des données personnelles qui fuitent aussi vers CleverTap
CleverTap est un outil d'analytics et de messaging personnalisé, qui se vante de fournir "une vue unifiée" des utilisateurs de ses clients (dont Bolt donc). Voici une capture d'écran de leur outil (disponible sur leur site) pour mieux comprendre comment ils mettent en avant vos informations personnelles :
Ainsi, si un employé de Bolt se connecte à CleverTap, il accèdera à ma fiche, renseignée de mon nom, de mon adresse email, de mon numéro de portable, et de mes différentes interactions avec Bolt (dont mes coordonnées GPS). Là encore, je n'ai donné aucune autorisation, et je n'ai aucune information sur comment CleverTap utilise mes données personnelles. Et encore, je ne me suis pas connecté à Bolt via Facebook !
Que disent les conditions d'utilisations de CleverTap (c'est à dire de leur service à destination des entreprises, utilisé par Bolt) ? En résumé : tout est permis. Dans la section 7, Confidentiality :
Client may capture Personal Information and send it to the Platform. “Personal Information” means information provided by Client or collected by Company under the Terms, which information identifies or can be used to identify, contact, or locate the person or device to whom that information pertains. Personal Information includes name, address, phone number, fax number, email address, social security number, or other government issued identifier, and credit-card information
Notons aussi que CleverTap avait déjà été identifié via ce tweet par Elliot Alderson, un chercheur en sécurité, il y a déjà 2 ans :
Segment, le hub de vos données personnelles
J'avais déjà écrit sur Segment dans l'analyse de Houseparty, cet outil est un "Tag Manager" pour applications : Segment va collecter vos données de navigation et vos données personnelles pour les redistribuer vers d'autres outils utilisés par Bolt. Comme pour Google et pour CleverTap, Bolt choisit quelles données personnelles passer à Segment. Là encore, rien de mieux que des captures d'écran du site web de Segment pour illustrer le propos :
Mon profil est maintenant dans l'outil Segment de Bolt, avec mon nom, mon email, mon numéro de téléphone, mes interactions avec l'appli Bolt et ma géolocalisation (coordonnées GPS). Et Segment peut ensuite redistribuer mes infos à une myriade d'autres sociétés, les "destinations" (activation effectuée par Bolt, je n'ai aucun moyen de savoir vers qui mes données personnelles fuitent ensuite) :
En l'occurrence, Bolt pourrait très bien utiliser Google Firebase, CleverTap et Segment en leur transférant de "simples" pseudonymes (identifiants utilisateurs), en vous informant au préalable de l'utilisation de ces prestataires, et en demandant votre consentement. Seulement voilà, Bolt ne fait rien de tout cela, et va au contraire fuiter des données personnelles nominatives et sensibles.
Comment lutter contre cette invasion de votre vie privée ? Si le "shaming" peut parfois marcher (Zoom qui retire le tracking Facebook sous la pression), rien n'évoluera vraiment sans changement des règles des App Stores (aujourd'hui beaucoup trop permissifs sur le tracking tiers) ou sans action significative (a.k.a. lourde sanction) des autorités de régulation comme la CNIL.