En matière de données personnelles, la transparence reste l’exception. Et parfois, ce sont les applications les plus anodines, les plus ludiques ou les plus familières qui participent à une circulation d’informations difficile à tracer. En France, près d’une centaine d’applications largement téléchargées s’appuient sur un outil russe pour collecter des données et les transmettre vers des serveurs localisés en Russie.
AppMetrica, un SDK discret mais omniprésent
À l’origine de cette collecte massive : AppMetrica, un kit de développement logiciel (SDK) fourni par Yandex, équivalent russe de Google. En intégrant ce module dans une application, les développeurs peuvent bénéficier d’outils de mesure d’audience, de ciblage publicitaire et de suivi de performance. En échange, des données sont collectées : adresse IP, informations sur l’appareil, données réseau, entre autres. Yandex admet que ces données sont stockées à la fois en Russie et en Finlande.
Le modèle économique est classique : fournir un service gratuit aux développeurs en échange d’un accès privilégié à la donnée utilisateur. Ce qui interpelle ici, c’est le volume des applications concernées – près de 50 000 dans le monde – et le fait que nombre d’entre elles sont massivement utilisées en France.
Une liste d’applis populaires, et une exposition massive
En France, plus de 100 applications couramment téléchargées utilisent ou ont utilisé AppMetrica. Il s’agit principalement de jeux mobiles, souvent très simples dans leur design, mais aux millions de téléchargements cumulés. On retrouve ainsi Sudoku.com, Helix Jump, Cut the Rope, ou encore Solitaire. Les éditeurs Voodoo, EasyBrain ou Saygame figurent parmi les plus concernés.
Les jeux ne sont pas les seuls en cause. On y trouve aussi des applications de montage photo, de musique, des convertisseurs, des traducteurs, et même des réseaux sociaux spécialisés ou services de rencontre. La liste est longue, et touche à des usages très différents du quotidien numérique. L’ampleur du phénomène tient autant à la banalisation des SDK tiers qu’au manque de lisibilité offert aux utilisateurs sur la destination réelle de leurs données.
Des pratiques qui interrogent à l’heure des tensions internationales
L’utilisation de services techniques fournis par des entreprises russes n’est pas illégale en soi. Toutefois, le contexte géopolitique actuel alimente les inquiétudes. L’État russe est réputé pour ses liens étroits avec les entreprises technologiques locales, et certaines révélations passées ont montré comment des plateformes pouvaient être mobilisées au service d’une stratégie d’influence ou de surveillance.
Certaines entreprises ont d’ailleurs cessé leur collaboration avec Yandex depuis l’offensive militaire en Ukraine. Reverso affirme ne plus utiliser le SDK de Yandex depuis mars, et précise que cela ne concernait que le marché russe. Même chose pour Akinator, qui avait limité cet usage aux utilisateurs russes représentant environ 10 % de son audience.
Une vigilance encore trop passive
La collecte de données via des outils tiers reste une zone grise réglementaire, surtout lorsqu’elle s’effectue hors du périmètre européen. La réglementation RGPD impose des obligations de transparence, mais en pratique, l’utilisateur reste peu informé sur les multiples niveaux d’accès et de traitement. Et lorsque ces données partent vers des territoires extérieurs à l’Union, le risque juridique et politique augmente.
Dans ce contexte, la question centrale devient : peut-on encore utiliser une application gratuite sans accepter une forme d’externalisation de ses données personnelles ? La réponse semble de plus en plus incertaine. Ce cas montre que la provenance technologique d’une appli, autant que son usage, doit désormais être prise en compte dans l’évaluation de sa fiabilité.
Conclusion
Ce nouvel épisode rappelle une réalité souvent ignorée : derrière chaque application se cache un écosystème technique, dont certains composants échappent au contrôle des utilisateurs. Lorsque ces composants sont liés à des entreprises opérant depuis des zones géopolitiquement sensibles, la collecte de données prend une toute autre dimension. Dans un contexte de cybersécurité tendue et de guerre informationnelle, la maîtrise de la donnée devient un enjeu de souveraineté numérique. Pour les citoyens, cela implique une vigilance accrue, mais surtout une exigence de clarté à l’égard des développeurs comme des plateformes qui les hébergent.
Ben tien et pas aux USA? Vous nous prenez pour les perdreaux de l ‘année