• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Industrie > Accès au marché > Que contiennent les applications mobiles des sociétés d’assurance et mutuelles santé ?

Que contiennent les applications mobiles des sociétés d’assurance et mutuelles santé ?

Avec quels prestataires les sociétés d’assurance santé et les mutuelles travaillent-elles pour améliorer l’engagement de leurs clients dans leurs applications mobiles et collecter des données d’usage ? mind Health a étudié leurs choix techniques grâce aux données d’Exodus Privacy, une association qui recense les SDK (softwares development kits) dans les applications mobiles. 

 

Par Aymeric Marolleau. Publié le 29 mai 2019 à 15h23 - Mis à jour le 29 mai 2019 à 15h23
  • Ressources

Les applications mobiles tiennent un rôle croissant dans la relation entre les sociétés d’assurance santé et leurs clients. Depuis 2018, un article du Code des assurances (L.111-10-l) les autorise même à obliger leurs clients à utiliser la voie dématérialisée. Selon une étude de Next Content pour Quadient baptisée “Expérience client et nouveaux services numériques dans l’assurance”, 29 % des Français connectés à internet et clients d’une société avaient déjà téléchargé l’application d’une assurance ou d’une mutuelle en mai 2018, en hausse de six points par rapport à 2017. C’est même le cas de 44 % des moins de 35 ans.

En mars, mind Health a étudié les performances de 10 applications d’assureurs et mutuelles santé grâce à l’outil de notre partenaire Ogury. Nous nous penchons cette fois sur leurs choix techniques : quels “pisteurs” ces acteurs ont-ils installés dans leurs logiciels et quelles permissions demandent-elles ?

Qui est Exodus Privacy ?

Afin de collecter des données sur leurs utilisateurs et leurs usages, surveiller le bon fonctionnement de l’application ou y proposer des services, comme des push notifications, leurs développeurs y incorporent parfois des bouts de codes baptisés “kits de développement”, ou softwares development kits (SDK) en anglais. Depuis 2017, l’association Exodus Privacy, un groupe d’activistes rassemblé en association, recense grâce une méthode présentée sur Github (lire également l’encadré sur sa méthodologie) ceux qui ont été installés dans plus de 56 000 applications Android dans le monde.

“Nous avons choisi de rendre nos travaux publics afin de contribuer à la transparence de l’écosystème numérique”, expliquait en 2018 à mind Media l’ex-présidente de l’association, Esther Onfroy. L’analyse a toutefois quelques limites : “Nous pouvons parfois ne pas être exhaustifs, car nous ne cherchons que les traqueurs que nous avons préalablement identifiés (près de 200 en avril 2019, ndlr) et nous n’avons pas la prétention de tous les connaître. Enfin, ce n’est pas parce qu’un traqueur est présent dans une application qu’il sera systématiquement utilisé”, prévenait-elle.

LA MÉTHODOLOGIE D’EXODUS PRIVACY ET LES BIAIS POSSIBLES
La méthode la plus certaine pour identifier les SDK installés au sein d’une application mobile consiste à en “décompiler” le code, c’est-à-dire reconstituer le code source par de la rétro-ingénierie. Un problème survient ici : cette méthode est illégale si les résultats sont publiés, car le code source relève du droit d’auteur. Exodus Privacy a donc trouvé une autre technique : l’association liste tous les noms des objets Java embarqués dans un APK (collection qui contient tous les fichiers nécessaires à l’installation d’une application sur Android) grâce à l’outil dexdump, fourni par Google. Puis elle compare cette liste avec celle qu’elle détient sur les noms Java des trackers qu’elle a déjà identifiés.

Cette méthode peut comprendre des biais : tous les traqueurs identifiés par Exodus au sein des applications ne sont pas nécessairement utilisés par les éditeurs. Certains peuvent être pré-embarqués par des partenaires, et activés ou non au gré des besoins. Certains traqueurs peuvent aussi avoir été installés par des partenaires tiers sans que l’éditeur de l’application en ait été averti, ou ils pourraient faire partie d’un code générique utilisé par le prestataire qui a développé l’application.

Si vous avez des commentaires ou un éclairage à apporter, contactez-nous : redaction@mindhealth.fr

Les applications d’assurances santé intègrent 2 SDK en moyenne

mind Health a donc utilisé Exodus pour étudier 13 applications Android de sociétés d’assurance et mutuelles santé : Alan l’assurance santé simple, Mon Allianz mobile, Apicil mon espace santé, Aviva et moi, CA Ma Santé (Crédit Agricole), Mon Generali, Groupama et moi, Harmonie & moi (Harmonie Mutuelle), Humanis Appli-Santé, M@ Mutuelle (La Mutuelle Générale), Espace Client Malakoff Médéric, MGEN – Espace personnel et Unéo’quotidien ( consultez la liste des applications et les rapports étudiés dans Exodus Privacy ici).

Premier constat : avec seulement deux SDK en moyenne par application, les sociétés d’assurance santé en utilisent très peu. Pour comparaison, les logiciels des banques en embarquent quatre et ceux des médias 16. Il existe toutefois quelques disparités. Avec cinq pisteurs, c’est celle de Malakoff Médéric qui en compte le plus. À l’opposé, les applications mobiles d’Alan, du Crédit Agricole, d’Humanis, de la Mutuelle Générale, de Groupama et d’Unéo n’en utilisent qu’un seul. Plus radicale, l’application de la Macif, baptisée “MACIF – Essentiel pour moi”, n’en a aucun.
 


Ces 13 services mobiles utilisent 11 SDK différents. 45,8 % des 24 SDK utilisés, toutes applications confondues, concernent la mesure des audiences et de l’usage : à l’exception de Groupama, elles en ont toutes au moins un. La plupart ont choisi les solutions proposées par Google (Firebase Analytics, Analytics ou encore CrashLytics).

Cinq sociétés d’assurance santé ont installé un SDK qui leur permet de récolter des informations techniques relatives à un bug. Il s’agit d’Allianz, d’Aviva, de Générali, d’Harmonie Mutuelle et de MGEN.

Pour récolter des données sur leurs utilisateurs, les assurances santé Aviva et Groupama ont toutes deux intégré le pisteur de leur data management platform (DMP), Demdex (Adobe). Seulement deux sociétés ont installé un SDK destiné à améliorer l’engagement de leurs utilisateur, par exemple via des notifications push. Il s’agit d’Allianz et Malakoff Médéric, qui ont toutes deux installé le traqueur de l’américain Tune. Une seule, celle de Malakoff Médéric, embarque des SDK publicitaires (Google Ads et Google DoubleClick).
 


Quelles permissions pour quels usages ?

Pour fonctionner, ces SDK et les applications qui les contiennent “ont besoin d’accéder à certaines données de l’utilisateur ou d’accéder à certaines fonctionnalités du système Android (caméra, GPS…)”, explique une spécialiste de Defensive Lab Agency, société de R&D spécialisée dans la cyber-sécurité. Mais elles doivent au préalable obtenir la permission de leurs utilisateurs (voir les explications en encadré). Or, la liste de chacune des permissions demandées est, comme les SDK, disponible dans Exodus Privacy. Leur analyse apporte quelques enseignements supplémentaires sur les choix techniques des assureurs santé.

Certaines permissions sont très classiques, comme permettre à l’application de se connecter à internet, connaître l’état de la bande passante dont dispose le téléphone (3G, 4G ou wifi) pour adapter les services, communiquer avec le serveur. Toute les applications de notre panel les demandent.

Tous les services étudiés, à l’exception de ceux d’Apicil et Malakoff Médéric, sont autorisés à lire les informations stockées sur une carte SD, si le téléphone en possède une. Tous empêchent également le téléphone de se mettre en veille lorsque l’application est active, hormis ceeux de Groupama et de La Mutuelle Générale. Plusieurs des applications de notre panel souhaitent accéder à l’objectif du téléphone, pour prendre des photos ou des vidéos, et veulent être en mesure de modifier ou supprimer le contenu d’une carte SD. “La demande d’accès à l’appareil photo permet généralement à l’utilisateur de prendre en photo les documents qu’il souhaite communiquer à son assurance via l’application. Les photos pouvant être stockées soit sur le stockage interne, soit sur la carte SD, l’application demande donc de pouvoir y accéder. L’appareil photo peut également servir à la lecture de codes QR”, explique-t-on chez Defensive Lab Agency. Six des applications de notre panel peuvent initier un appel depuis le téléphone des internautes. “Cela permet à l’utilisateur de joindre rapidement son assurance, sans avoir à rechercher le numéro dans le cas, par exemple, d’un accident”. Les utilisateurs d’Uneo’quotidien autorisent l’application à lire les SMS et MMS de leur téléphone, et l’application de MGEN peut lire et envoyer des SMS.

En quoi consistent les permissions sur Android ?
Il existe une quarantaine de permissions considérées comme “normales” par Android, dont l’acceptation se fait lors du téléchargement de l’application, deux “spéciales” et une trentaine considérées comme “dangereuses” (la liste de toutes les permissions). Une permission est considérée comme dangereuse si elle implique d’accéder à des informations ou des fonctionnalités qui peuvent porter atteinte à la vie privée de l’utilisateur ou qui peuvent affecter les données stockées dans le téléphone ou l’activité d’autres applications. Ce type de permission requiert le consentement explicite de l’utilisateur non seulement lors du téléchargement de l’application mais aussi lors de son déclenchement.

Les permissions dangereuses sont classées en 10 grandes catégories : calendrier (lire les informations du calendrier et en ajouter), process des logs, appareil photo (accéder à l’appareil photo), contacts (lire les contacts, en ajouter et recueillir les informations), géolocalisation (approximative et précise), microphone (enregistrer les sons environnants), téléphone (dont passer un appel, répondre à un appel, lire les numéros de téléphone), capteurs (accéder aux données des capteurs que les utilisateurs utilisent pour mesurer des choses comme leur rythme cardiaque), SMS (dont envoyer, recevoir, lire un SMS…) et stockage (lire et écrire dans le stockage externe).

 

Aymeric Marolleau
  • Application mobile
  • Assurance

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

À lire

Quelles applications mobiles les laboratoires pharmaceutiques ont-ils créées, et dans quels buts ?

La liste des SDK présents dans les applications des compagnies d’assurance santé
Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nous contacter
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025
  • Twitter
  • LinkedIn
  • Email