Vos données personnelles soldées avec Runkeeper d'Asics

Vous souhaitez courir en solo ? L'application de fitness d'Asics fuite vos données personnelles vers de nombreux tiers, et ne propose pas de politique de confidentialité dédiée

Publié par Pixel de Tracking le 31 mai 2020

Runkeeper multiplie les traceurs et fuite votre e-mail dans l'URL d'un outil tiers

Après avoir détaillé comment Runstatic fuite vos données personnelles sans base légale valide, je décide de regarder si son concurrent Runkeeper fait mieux. Tout comme Runstatic rachetée par Adidas en 2015, Runkeeper a suscité des convoitises et a été rachetée par Asics en 2016. Le leader des équipementiers sportifs Nike n'est pas en reste, il propose aussi son application, Nike Training Club.

Vos activités physiques et plus généralement vos données de santé sont en effet stratégiques. Si les équipementiers sportifs ont rapidement réagi, ils sont maintenant accompagnés des géants du numérique :

  • Google propose depuis quelques années son application Google Fit. Il a également racheté Fitbit l'année dernière.
  • Apple propose l'Apple Watch, la smartwatch la plus vendue au monde, et l'appli Apple Santé. À noter qu'Apple est plus respectueux de vos données personnelles car son objectif est différent (vendre des appareils haut de gamme et non capter vos données personnelles), ainsi les données de l'appli Santé sont chiffrées de bout en bout, ce qui veut dire qu'Apple ne peut les lire.

Runkeeper a déjà eu des problèmes de mauvaise gestion des données personnelles de ses utilisateurs. En 2016, l'application a été accusée par l'organisme public norvégien chargé de la protection des consommateurs de transmettre des données personnelles (dont la géolocalisation) à un tiers (Kiip.me), même lorsque l'application est inactive. Ses pratiques ont-elles changées ? Afin d'étudier les éventuels fuites de données personnelles de Runkeeper vers des sociétés tierces, j'ai suivi la procédure suivante sur mon iPhone :

  • Fermeture des différentes applications en arrière plan.
  • Lancement de l'application Charles Proxy et activation du suivi.
  • Lancement de l'application Runkeeper, puis navigation dans l'App dont le lancement d'une activité.
  • Export des logs de ma session Charles Proxy vers mon ordinateur.

Runkeeper iOS

Runkeeper est très bavard, voici les sociétés qui vous pistent :

  • Google : le géant de Mountain View est partout. Runkeeper utilise Firebase, la boîte à outil de Google, pour les Apps pour mesurer les crashs, via Crashlytics ainsi que pour personnaliser son application et faire de l'A/B testing via Remote Config. Runkeeper utilise également Google Ad Manager (l'adserveur éditeur) pour diffuser de la publicité.
  • Facebook : le géant de Palo Alto est également partout. Runkeeper utilise la boite à outil de Facebook pour les Apps. Il est parfois difficile de savoir pourquoi une application utilise Facebook car sa boîte à outil inclut de nombreuses fonctionnalités comme de l'Analytics ou du reciblage publicitaire.
  • Iterable : société de marketing mobile permettant à Runkeeper de vous segmenter pour ensuite mieux vous recibler via des notifications, des messages in-App, des SMS ou des e-mails personnalisés. Mauvaise surprise : Runkeeper fait fuiter à Iterable votre adresse e-mail en clair, dans l'URL. Voici l'URL fautive : https://api.iterable.com/api/inApp/getMessages?count=100&email=XXX&SDKVersion=6.2.2&packageName=RunKeeperPro&platform=iOS.
  • Appsflyer : société de marketing mobile offrant notamment un produit d'attribution, ce qui permet à Runkeeper de savoir quelles campagnes publicitaires ont déclenchées l'installation de l'application.
  • Amplitude : outil d'analytics, permet à Runkeeper d'analyser en détail votre comportement sur son application. Ici également, tout est tracé : chaque écran vu, le modèle de votre smartphone, votre opérateur mobile, votre identifiant de smartphone, mais également le type d'activité effectué, votre marque de chaussures, le nombre de pas, la distance parcourue, la durée de l'activité ou votre nombre d'amis sur l'application.

Si l'on regarde en détail les informations transmises à Google Ad Manager, l'outil de Google permettant à Runkeeper de diffuser de la publicité, on peut voir que Runkeeper fuite beaucoup d'informations via le champs '_custparams' de la requête https://pubads.g.doubleclick.net/gampad/ads (nous avions déjà vu cette fuite de données chez Spotify). Google collecte (liste non exhaustive) :

  • Votre sexe.
  • Votre tranche d'âge.
  • Des informations sur votre course la plus longue (une fourchette de kilomètres et de durée).
  • Des informations sur la moyenne de vos courses (une fourchette de kilomètres).
  • Des informations sur le nombre de vos courses (une fourchette aussi).
  • Si vous avez déjà fait du vélo ou non.
  • Si vous avez déjà escaladé ou non.
  • Si vous avez déjà marché ou non.

Ces informations sont envoyées délibérément par Runkeeper à Google Ad Manager afin de mieux vous cibler : Runkeeper peut ainsi diffuser une publicité pour du matériel d'alpinisme aux utilisateurs qui ont déjà fait de l'escalade.

Runkeeper n'a pas de politique de confidentialité dédiée !

Comment Runkeeper communique-t-il sur son usage de vos données personnelles ? Surprise, Asics ne s'embête pas à proposer une politique de confidentialité dédiée à l'application Runkeeper ! Ainsi vous serez redirigé vers la politique de confidentialité d'Asics, dont les marques regroupent Asics et Runkeeper notamment, mais aussi Onitsuka Tiger et Haglöfs.

Dans ces conditions, il est difficile d'analyser cette politique de confidentialité. Comme déjà constaté avec Runstatic, les données personnelles collectées par Asics sont massives, mais elles mélangent les 4 marques d'Asics. Si l'on regarde néanmoins la section "De quelle manière partageons-nous vos données ?", Asics indique :

Partenaires. ASICS vous propose parfois un service ou une application en partenariat avec ses partenaires. Nous pouvons également divulguer vos données personnelles à ces partenaires, mais uniquement lorsque vous avez donné votre consentement ou nous avez demandé de le faire.

Ceci est un mensonge car Runkeeper ne propose rien pour recueillir le consentement de l'utilisateur. Cela va même plus loin car comme nous l'avons vu précédemment, Runkeeper transmet vos données personnelles à Google, Facebook, Iterable (dont votre e-mail), Appsflyer et Amplitude. Vous n'êtes pas informé de cette fuite de données personnelles, vous n'avez pas de contrôle, et Runkeeper ne propose rien pour désactiver ce pistage.

Que pouvez-vous faire afin d'empêcher les fuites vers des outils tiers ? Comme pour Runstatic et pour de nombreuses Apps, en attendant une éventuelle sanction d'une autorité de régulation compétente, vous pouvez passer par des applis telles que DNSCloak, Adguard ou NextDNS sur iOS.