Denis, un retraité de Saint-Bruno-de-Montarville, vient me voir au café avec son Samsung Galaxy A54.
« J’ai cherché des bottes de randonnée sur Amazon lundi. Depuis, chaque fois que j’ouvre mon Facebook, mon Instagram, même un jeu de cartes gratuit — j’ai des pubs de bottes partout. Comment Facebook sait ça? J’ai rien tapé sur Facebook, moi. »
Je regarde son téléphone 2 minutes. Voici ce que je trouve :
- L’ID publicitaire Google est actif (identifiant unique qui suit Denis à travers toutes ses apps).
- Chrome synchronise son historique avec un compte Google vieux de 12 ans.
- 47 applications ont accès à sa localisation « en tout temps ».
- Facebook a accès à ses contacts, son micro, sa caméra, ses SMS.
- Le clavier Samsung a l’option « Partagez vos données de frappe pour améliorer Samsung » activée.
- Bixby est actif et écoute en permanence « Hi Bixby ».
Denis n’est pas un cas extrême. C’est la configuration par défaut d’un Samsung en 2026 pour quelqu’un qui ne creuse pas les réglages.
Je lui passe 45 minutes à configurer le téléphone proprement. Deux semaines plus tard, il m’envoie un texto : « Les pubs sont vraiment moins ciblées. Et la batterie dure une journée de plus. »
Ce guide est exactement ce qu’on a fait ensemble — étendu avec toutes les options pertinentes. Samsung et Pixel (Google). Pour Android 14 et Android 15 (Samsung One UI 6.1 et 7).
Attachez votre tuque. C’est long mais ça vaut la peine.
Avant de commencer
Temps requis : 30-45 minutes.
Prérequis :
- Avoir votre mot de passe Google (pas juste le PIN du téléphone).
- Être connecté à un Wi-Fi de confiance (pas le Wi-Fi d’un café).
- Avoir 20 minutes de batterie minimum ou être branché.
Note importante : les chemins exacts varient entre Samsung (One UI) et Pixel (Android pur). Je donne les deux. Pour les marques autres (OnePlus, Xiaomi, Motorola), c’est similaire à Samsung avec de petites variations.
Section 1 : compte Google (20 % du travail, 80 % de l’impact)
Votre compte Google est le cerveau central de tout votre Android. C’est là qu’il faut commencer.
1.1 Activer l’authentification à deux facteurs (2FA)
Chemin : myaccount.google.com → Sécurité → Validation en deux étapes.
- Activer la 2FA.
- Préférer l’application Google Authenticator ou une clé de sécurité (YubiKey) plutôt que le SMS.
- Télécharger et imprimer les codes de récupération (à garder dans un endroit sûr, pas sur votre téléphone).
Si quelqu’un met la main sur votre mot de passe Google dans une fuite, la 2FA est le seul rempart qui empêche un accès total à votre téléphone, vos photos, vos courriels, votre localisation historique. C’est non négociable.
1.2 Purger les contrôles d’activité
Chemin : myaccount.google.com → Données et confidentialité → Paramètres de l’historique.
Trois bascules principales :
- Activité sur le Web et les applications : contient chaque recherche Google, chaque interaction avec une app Google, depuis des années. Passer en Suppression automatique : 3 mois. Désactiver complètement si vous voulez zéro tracking.
- Historique des positions : cartographie chaque endroit où vous allez. Faites défiler l’historique — vous allez être choqué du niveau de détail. Désactiver, puis Supprimer toutes les données d’historique des positions.
- Historique YouTube : si vous utilisez YouTube et voulez des recommandations, gardez-le. Sinon, suppression automatique à 3 mois.
Google conserve des données par défaut pendant 18 mois depuis la dernière activité. Vous pouvez raccourcir à 3 ou 18 mois, ou désactiver complètement.
1.3 Vérifier les appareils connectés
Chemin : myaccount.google.com → Sécurité → Vos appareils.
Déconnectez tout ce que vous ne reconnaissez pas. Un vieux téléphone perdu en 2020 peut encore être connecté à votre compte 6 ans plus tard. Déconnecter ne supprime pas le compte — juste l’accès de cet appareil.
1.4 Purger les applications tierces
Chemin : myaccount.google.com → Sécurité → Connexions tierces.
Liste de toutes les apps et services qui ont accès à votre compte Google. Site web random auquel vous vous êtes connecté avec « Login with Google » en 2019? Encore là. Supprimez tout ce que vous n’utilisez plus activement.
Section 2 : ID publicitaire — la plus grande fuite
L’ID publicitaire Android (AAID — Android Advertising ID) est un identifiant unique qui suit votre téléphone à travers toutes vos applications. Chaque app peut le lire. Chaque réseau publicitaire le stocke. C’est ce qui permet à Facebook de savoir que vous avez cherché des bottes sur Amazon.
Bonne nouvelle : on peut le supprimer.
Samsung
Paramètres → Sécurité et confidentialité → Plus de paramètres de confidentialité → Publicité → Supprimer l’ID de publicité.
Pixel / Android pur
Paramètres → Sécurité et confidentialité → Plus de paramètres de confidentialité → Annonces → Supprimer l’ID publicitaire.
Après suppression, à chaque fois qu’une app demande votre ID publicitaire, Android renvoie une chaîne de zéros. Ça casse à peu près tout le tracking personnalisé.
Note : certains services gratuits (ex : jeux mobiles avec pubs) peuvent fonctionner moins bien. Pour la majorité des utilisateurs, aucune différence perceptible.
Section 3 : Privacy Dashboard (Android 12+)
Android a un tableau de bord qui montre quelles apps ont utilisé quelles permissions dans les dernières 24 heures.
Chemin : Paramètres → Sécurité et confidentialité → Confidentialité → Tableau de bord de confidentialité.
Vous allez voir des choses étranges. Une app de calculatrice qui a accédé à votre micro? Une app météo qui lit vos contacts? Un jeu gratuit qui a accédé à la caméra?
Pour chaque anomalie, deux actions possibles :
- Révoquer la permission immédiatement (voir section 4).
- Désinstaller l’application si vous ne lui faites plus confiance.
J’appelle ça le « test du calculateur ». Si une app de calculatrice demande l’accès à votre micro, elle est probablement malveillante ou financée par la pub (qui a besoin de ces données pour vous cibler).
Section 4 : Permission Manager — le grand ménage
Chemin : Paramètres → Sécurité et confidentialité → Gestionnaire d’autorisations.
Vous avez une liste par catégorie : Localisation, Micro, Caméra, Contacts, SMS, Stockage, etc.
Pour chaque catégorie, deux questions :
- Cette app a-t-elle vraiment besoin de cette permission? Facebook a-t-il vraiment besoin d’accéder à vos SMS? (Non.) Uber a-t-il vraiment besoin d’accéder à vos photos? (Non.)
- Si oui, peut-on limiter à « uniquement quand l’app est utilisée » plutôt que « tout le temps »?
Localisation — le plus critique
Android 10+ offre 4 niveaux :
- Autoriser tout le temps
- Autoriser uniquement pendant l’utilisation de l’application
- Demander à chaque fois
- Ne pas autoriser
Règle générale : seules les apps de navigation (Google Maps, Waze, Apple Plans) et de livraison (Uber Eats, DoorDash) devraient avoir « pendant l’utilisation ». Aucune app ne devrait avoir « tout le temps » sauf une app spécifique de tracking familial (Life360) si vous l’utilisez consciemment.
Révoquez la localisation sur Facebook, Instagram, TikTok, Snapchat, tous les jeux, toutes les apps de commerce. Aucune de ces apps n’a besoin de votre localisation pour fonctionner.
Micro et caméra
Mêmes règles. Seules les apps d’appel vidéo (Zoom, Google Meet, Teams), de messagerie (Signal, WhatsApp), et de photo (caméra native) devraient avoir accès.
Depuis Android 12, un point vert ou orange apparaît en haut à droite de l’écran quand le micro ou la caméra est utilisé. Si vous voyez ce point sans raison évidente, quelque chose vous écoute.
Contacts et SMS
Presque aucune app n’a vraiment besoin de vos contacts. L’excuse classique : « Pour t’aider à trouver tes amis sur l’app ». Non, merci.
Pour les SMS, seules les apps de messagerie qui remplacent le SMS natif (Google Messages, SMS Samsung, ou une alternative comme Signal configurée comme app SMS par défaut) devraient y avoir accès.
Stockage
Android 11+ a beaucoup restreint le stockage. La plupart des apps ne demandent que l’accès à leurs propres fichiers. Les apps avec accès complet au stockage (comme un gestionnaire de fichiers) sont rares et doivent être vérifiées soigneusement.
Section 5 : Play Protect
Chemin : Play Store → votre photo de profil → Play Protect.
- Activer Analyser les applications avec Play Protect.
- Activer Améliorer la détection des applications nuisibles.
- Exécuter un scan manuel maintenant.
Play Protect analyse vos apps tous les jours et détecte les malwares connus. C’est basique mais gratuit et utile.
Note : Play Protect ne détecte pas les apps malveillantes installées en dehors du Play Store (APK depuis des sites pirates). Restez dans le Play Store pour 99 % des utilisateurs.
Section 6 : Private DNS — bloquer au niveau réseau
Le DNS (Domain Name System) est ce qui traduit « google.com » en adresse IP. Par défaut, votre téléphone utilise le DNS de votre fournisseur (Bell, Vidéotron, Telus, Koodo…) qui peut voir tous les sites que vous visitez.
Android 9+ permet de forcer un DNS privé chiffré (DNS-over-TLS). Votre fournisseur ne voit plus quels sites vous visitez.
Chemin : Paramètres → Connexions → Plus de paramètres de connexion → DNS privé (Samsung) ou Paramètres → Réseau et Internet → DNS privé (Pixel).
Trois options recommandées :
- 1.1.1.1 → Cloudflare. Ultra-rapide. Politique de confidentialité publique (logs 24h anonymisés). Entrez :
one.one.one.oneou1dot1dot1dot1.cloudflare-dns.com. - 9.9.9.9 → Quad9. Bloque les domaines malveillants connus (phishing, malware). Basé en Suisse. Entrez :
dns.quad9.net. - dns.adguard.com → AdGuard. Bloque les pubs et trackers au niveau DNS. Entrez :
dns.adguard.com.
Pour la majorité, dns.adguard.com est le meilleur choix : pubs bloquées dans TOUTES les apps, pas juste le navigateur.
Une fois configuré, testez sur dnscheck.tools pour vérifier que le DNS privé fonctionne.
Section 7 : spécificités Samsung
Si vous avez un Samsung, il y a une couche supplémentaire de services qui collectent des données — en plus de Google.
Compte Samsung
Chemin : Paramètres → Comptes Samsung (votre nom) → Vie privée.
- Désactiver Service personnalisé (utilise vos données pour personnaliser les pubs Samsung).
- Désactiver Partager mes informations avec Samsung si ce n’est pas déjà fait.
- Vérifier Appareils connectés et déconnecter ceux que vous ne reconnaissez pas.
Bixby (assistant Samsung)
Même si vous ne l’utilisez jamais, Bixby peut écouter en permanence.
Chemin : Paramètres → Fonctionnalités avancées → Bixby Routines → désactiver. Puis Paramètres → Général → Bixby → Vocal → désactiver Voice wake-up et Hi Bixby.
Pour retirer Bixby du bouton latéral : Paramètres → Fonctionnalités avancées → Touche latérale → Maintenir enfoncée → Menu Marche/Arrêt.
Find My Mobile (Samsung) vs Localiser mon appareil (Google)
Les Samsung ont deux services de localisation distants activés par défaut. L’un Google, l’autre Samsung.
Pour simplifier : gardez Localiser mon appareil (Google) activé, car il est intégré à votre compte Google principal. Désactivez Find My Mobile (Samsung) si vous voulez réduire le nombre de services qui ont votre localisation en temps réel.
Paramètres → Biométrie et sécurité → Find My Mobile → désactiver.
Samsung Push Service et clavier Samsung
Le clavier Samsung (Samsung Keyboard) a plusieurs options de télémétrie cachées.
Paramètres → Gestion globale → Paramètres du clavier Samsung → Intelligent typing assistance → désactiver tout ce qui mentionne « données » ou « amélioration ».
Alternative : installer Gboard (clavier Google, mieux supporté) ou OpenBoard (open-source, zéro télémétrie).
Samsung Internet Browser
Si vous utilisez Samsung Internet Browser : Paramètres → Confidentialité et sécurité → activer toutes les protections anti-tracking. Sinon, utilisez Firefox (meilleure vie privée) ou Brave (blocage publicité par défaut).
Section 8 : spécificités Pixel
Les Pixel ont moins de services tiers à désactiver — mais Google est plus profondément intégré.
Accélérateur du contenu privé (Android 15)
Chemin : Paramètres → Sécurité et confidentialité → Autres paramètres de confidentialité → Private Compute Core.
Vérifiez que Private Compute Services est actif. Ça isole certaines fonctions sensibles (comme Live Caption, Smart Reply) du reste du système.
Espace privé (Private Space, Android 15)
Nouveauté Android 15 : un conteneur chiffré sur votre téléphone pour des apps et données sensibles, avec son propre mot de passe.
Chemin : Paramètres → Sécurité et confidentialité → Espace privé.
Utile si vous partagez votre téléphone occasionnellement ou si vous voulez compartimenter des apps sensibles (banque, messagerie privée).
Section 9 : RCS et chiffrement des messages
Google Messages supporte RCS (Rich Communication Services) — le successeur du SMS.
Chemin : Google Messages → votre photo → Paramètres Messages → RCS chats → Activer les chats RCS.
Le RCS entre deux utilisateurs Android avec Google Messages est chiffré bout-en-bout depuis 2023. Regardez le cadenas dans le champ de texte — si vous le voyez, vos messages sont chiffrés.
ATTENTION : le RCS vers iPhone (même depuis iOS 18 qui supporte RCS) n’est pas chiffré bout-en-bout. Apple n’a pas encore implémenté E2EE sur son RCS.
Pour une vraie sécurité cross-platform : utilisez Signal. Chiffrement bout-en-bout garanti, peu importe que votre interlocuteur soit sur Android ou iPhone.
Section 10 : Google Photos vs alternatives
Google Photos sauvegarde automatiquement toutes vos photos sur les serveurs Google. C’est pratique. C’est aussi une collecte de données massive (visages reconnus, lieux, dates, objets).
Options :
- Garder Google Photos : désactivez la reconnaissance faciale (Paramètres → Grouper les visages similaires → désactiver). Utilisez le verrouillage par empreinte pour les photos sensibles.
- Alternative cloud : Proton Photos (chiffré bout-en-bout, ~5 $/mois). Ente Photos (open-source, chiffré bout-en-bout, 2 $/mois pour 50 Go).
- Alternative locale : un NAS Synology avec Synology Photos — tout reste chez vous.
Pour la majorité, Google Photos avec visages désactivés et verrouillage de l’app est un compromis raisonnable.
Section 11 : désactiver les fonctions Android qui espionnent
Nearby Share / Quick Share
Partage de fichiers via Bluetooth. Si vous ne l’utilisez pas, désactivez la visibilité.
Paramètres → Appareils connectés → Partage à proximité → Visibilité → Personne.
Nearby notifications
Notifications publicitaires envoyées par Bluetooth dans des commerces.
Paramètres → Google → Appareils et partage → Périphériques → Notifications d’appareils à proximité → désactiver.
Data Saver vs VPN
Activer le Data Saver Android empêche certaines apps de fonctionner en arrière-plan. Moins de données consommées = moins de télémétrie envoyée.
Pour un niveau supplémentaire, utilisez un VPN de confiance (Proton VPN gratuit, Mullvad, IVPN). Le VPN chiffre tout votre trafic même sur Wi-Fi public.
Capteurs désactivés
Android a un raccourci rapide « Sensors Off » qui désactive tous les capteurs (micro, caméra, GPS) d’un coup. Utile pour des réunions confidentielles ou pour dormir.
Activer le mode développeur (tapoter 7 fois sur « Numéro de build » dans Paramètres → À propos) → Options pour les développeurs → Tuile de mode développeur → Sensors Off.
Section 12 : vérifications trimestrielles
La configuration initiale prend 30-45 minutes. L’entretien prend 5 minutes tous les 3 mois.
Checklist à refaire tous les 3 mois :
- Vérifier le Privacy Dashboard — nouvelles anomalies?
- Revue des permissions sur les nouvelles apps installées.
- Vérifier Votre compte Google → Appareils — tout déconnecter sauf les appareils actuels.
- Purger les apps non utilisées depuis 90 jours.
- Mettre à jour Android (important pour les patches de sécurité).
Les mythes à casser
« Android est moins sécuritaire qu’iPhone, point. »
Faux. Android 14/15 configuré correctement est très sécuritaire. Le défaut Android est l’écosystème ouvert — il faut être discipliné. iOS est plus fermé donc plus sécuritaire par défaut pour un utilisateur non technique.
« Un VPN règle tout. »
Non. Un VPN cache votre trafic au niveau réseau. Il n’empêche pas Facebook d’identifier votre téléphone par l’ID publicitaire. La combinaison DNS privé + ID publicitaire supprimé + VPN est l’arsenal complet.
« Samsung vend mes données à la Corée. »
Exagéré. Samsung collecte des données (comme Google et Apple) pour améliorer ses services et personnaliser la publicité. Cette collecte se passe selon les lois sud-coréennes et européennes. Ce n’est pas une vente secrète — mais c’est quand même de la collecte.
« Je n’ai rien à cacher. »
La question n’est pas d’avoir quelque chose à cacher. La question est : voulez-vous qu’une centaine de compagnies sachent où vous habitez, où vous travaillez, qui sont vos amis, vos habitudes d’achat, votre état de santé? Parce que c’est ce qui se passe par défaut.
Pour qui ce guide est (et n’est pas)
Ce guide est pour vous si :
- Vous voulez réduire considérablement le tracking sans changer de téléphone.
- Vous acceptez de passer 45 minutes une fois puis 5 minutes par trimestre.
- Vous êtes un utilisateur normal (famille, travail, apps standards).
Ce guide n’est PAS suffisant si :
- Vous êtes journaliste, militant, avocat, ou manipulez des sources sensibles. Dans ce cas, GrapheneOS sur Pixel + téléphone dédié + pratiques opérationnelles strictes.
- Vous êtes ciblé par un acteur étatique. Même logique.
Pour 95 % des Québécois, ce guide couvre ce qui est raisonnable et efficace.
Besoin d’aide pour tout configurer?
45 minutes, ça semble rien quand c’est écrit. Devant le téléphone avec les menus qui changent selon la version, c’est autre chose.
Chez Sequr, on fait ce type de configuration avec les clients à distance. En 30-45 minutes de consultation, on passe votre téléphone de config par défaut à config verrouillée. Partout au Québec.
C’est le genre de service qui paye son coût mille fois en pubs évitées, en batterie qui dure plus longtemps, et en tranquillité d’esprit.
Denis, depuis sa session de 45 minutes, a installé Signal pour parler à ses petits-enfants, il désactive la localisation quand il part en camping, et il m’a envoyé un texto fier : « J’ai supprimé Facebook. Les pubs me manqueront pas. »
Commencer par configurer son téléphone ne remplace pas le jugement critique. Mais ça réduit de 80 % les occasions d’être manipulé par un algorithme qui en sait plus sur vous que votre propre mère.
Le reste, c’est de l’hygiène quotidienne.
À lire aussi :
