Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes
La CNIL s'attaque encore à la publicité mobile, cette fois avec Vectaury
Securité Crédits : peterhowell/iStock

La CNIL s'attaque encore à la publicité mobile, cette fois avec Vectaury

Des enchères peu discrètes
7 min

La Commission nationale Informatique et libertés (CNIL) enchaine les décisions publiques contre des sociétés espionnant les déplacements des smartphones. Cette fois, elle épingle Vectaury, dont la référence apparait dans les applications de Closer, Météo France ou encore Skyrock.

Vectaury est sur le grill. La CNIL lui offre une large publicité, via une mise en demeure d'obtenir le consentement des internautes à la collecte et au traitement de leurs données. Intégrée à des applications mobiles (via un SDK), l'entreprise récupère l'identifiant publicitaire du téléphone et les données de géolocalisation, sous Android et iOS.

« L’objectif de la société Vectaury est d’établir le profil des mobinautes à partir de leurs habitudes de déplacements afin de leur proposer de la publicité ciblée » résume la CNIL, dans sa décision du 30 octobre. Elle traque les déplacements dans des points d'intérêt, comme des magasins physiques, pour déterminer son profil et fournir des statistiques aux boutiques. Elle leur fournit aussi des publicités vers ces utilisateurs, via des espaces aux enchères chez des tiers.

Problème : les applications intégrant Vectaury ne demandent pas d'autorisation spécifique pour ce pistage commercial. Si vous autorisez l'accès à la géolocalisation à une application qui l'embarque, le SDK peut vous mettre le fil à la patte en toute quiétude, comme l'a constaté la CNIL.

Par ce biais, elle a collecté plus de cinq millions d'identifiants de smartphones. Surtout, elle en a récupéré 42 millions supplémentaires en participant à des enchères, sans que les utilisateurs ne le sachent.

Un consentement difficile à exprimer

L'enquête a été décidée le 30 mars 2018, donnant lieu à un contrôle sur place les 19 et 20 avril. La société de 56 salariés revendique un chiffre d'affaires de 3,2 millions d'euros l'an dernier. Dans son contrat, elle impose bien à ses partenaires qu'ils recueillent explicitement le consentement de leurs utilisateurs.

Elle fonde donc ses traitements sur ce consentement... Sans concrètement l'obtenir dans la plupart des cas, des applications ne présentant aucun réglage spécifique à Vectaury. C'est le principal reproche fait à Vectaury.

Depuis le 1er juin, Vectaury a tout de même fourni à la CNIL des éléments supplémentaires sur le recueil du consentement, au moins demandé dans les conditions d'utilisation des applications. Elle a surtout conçu une plateforme de gestion du consentement (Consent Management Provider, ou CMP), avec l'Interactive Advertising Bureau (IAB). Elle y associe une méthode pour obtenir l'accord des utilisateurs, qui laisse lui aussi à désirer.

Un système de recueil qui pré-coche les collectes

Un texte général est présenté au lancement de l'application, avec un lien vers la politique de confidentialité. Il est ensuite confronté à un choix triple (« J'accepte », « Je refuse » ou « J'affine mes préférences »). S'il choisit la troisième voie, le service lui présente une liste des finalités à décocher. Il peut aussi choisir les partenaires auxquels communiquer ses données, aussi à décocher. Une opération qui peut s'avérer fastidieuse.

Ce fonctionnement contrevient à l'article 2 de la directive de 1995 sur la protection des données personnelles, qui définissait le consentement libre avant le Règlement général sur la protection des données, appliqué depuis le 25 mai.

Dans le détail, le texte général affiché au lancement « peut laisser croire à l’utilisateur que son refus que ses données soient collectées et traitées entraînera soit un modèle économique payant, soit une impossibilité d’utiliser l’application ». En outre, les définitions des finalités de Vectaury sont rédigées dans un langage opaque.

Autrement dit, même si les applications intègrent un jour sa CMP, « les personnes ne sont pas dûment informées de la collecte de leurs données de géolocalisation par la société Vectaury, via l’installation d’un SDK, à des fins de publicité ciblée ». Et boum.

Aussi, le pré-cochage des finalités et des partenaires empêche l'utilisateur d'exprimer un consentement positif aux collectes, ce qu'exige pourtant la loi. Troisième carton rouge pour l'entreprise.

Notons que le système est très proche de celui de Quantcast, présenté par de nombreux sites web à la première visite.

Plus de 42 millions d'identifiants récupérés via des enchères publicitaires

Fin avril, la CNIL a constaté que la société conservait en masse des informations d'internautes dans une base de données commune, utilisée pour tous ses clients. 5,1 millions d'identifiants publicitaires ont été siphonnés depuis son SDK. Mais ce n'est que la minuscule partie émergée de l'iceberg.

En plus des données récupérées via le kit, elle a aussi aspiré une montagne d'identifiants à partir de 144 offres d'enchères publicitaires en temps réel auxquelles elle a participé (par des bid requests), pour placer les réclames de ses clients. Plus de 42,9 millions d'identifiants ont été obtenus par ce biais, dont 24,7 millions par des enchères auxquelles elle a répondu. Ces données proviennent de 32 000 applications.

Vectaury les aspire pour les analyser presque instantanément, dans le but de décider s'il peut enchérir ou non. Elles sont ensuite conservées et utilisées pour les autres activités de l'entreprise : vérifier le taux de conversion des campagnes publicitaires, cibler des prospects ou améliorer le profil d'une personne en particulier.

Or, les mobinautes dont les données ont été obtenues via les enchères publicitaires n'ont pas consenti aux autres traitements.

Malgré ses contrats, qui imposent aux organisateurs d'enchères de collecter le consentement des internautes à l'usage publicitaire de leurs données, il n'en est rien dans les faits. « Vectaury n’est aujourd'hui pas en mesure de démontrer que les données collectées par le biais des offres d’enchères en temps réel font, actuellement, systématiquement l’objet d’un consentement informé, libre, spécifique et activement manifesté. »

Rappelons que ces enchères publicitaires, automatisées, sont de plus en plus attaquées. La société derrière le navigateur Brave s'en prend ainsi à Google devant les CNIL britannique et irlandaise pour cette pratique.

Intégré dans 19 applications

Selon la commission, 19 applications de cinq partenaires intègrent les outils de Vectaury.

L'institution ne fournit aucun nom d'application. Il faut s'en remettre aux analyses d'Exodus Privacy, dont le système en trouve des traces dans celles d'Auto Plus, Closer, Météo France, Nostalgie Radio, NRJ Radio, Rire & Chansons, Skyrock, Télé Star, Vie De Merde, ainsi qu'une dédiée au scan de codes-barres et QR Code.

La ressemblance entre cette décision et celle prise à l'encontre de Singlespot, fin octobre, est frappante. Elle géolocalise les smartphones à l'insu des utilisateurs, pour suivre leurs déplacements en magasins. Fin octobre, elle a été mise en demeure de régler de nombreux problèmes : consentement du mobinaute, sécurité des données, séparation des bases de production et de développement... Le catalogue des manquements donnait le tourni.

Une base de données à expurger

La CNIL met donc l'entreprise en demeure de recueillir concrètement l'accord des internautes à la collecte et au traitement de leurs données personnelles. Elle doit aussi purger sa base de données des informations obtenues sans consentement. Enfin, elle doit prouver sa mise en conformité à la commission.

Elle semble lancée contre les sociétés géolocalisant les smartphones à leur insu. Début octobre, elle a obtenu de Teemo, qui avait fait scandale en août 2017, de rentrer dans le rang. Depuis, elle a mis Singlespot au pilori, sur la place publique.

Contrairement à sa décision précédente, l'une des premières fondées sur le RGPD, celle-ci semble basée sur le droit précédant le règlement européen, qui a rehaussé les sanctions possibles à 4 % du chiffre d'affaires mondial ou 20 millions d'euros (le plus grand étant choisi). Précédemment, la sanction maximale était de trois millions d'euros. Elle pourrait donc s'appliquer ici, dans le pire des cas.

Dans un communiqué, la société assure que les demandes de l'institution sont sur sa feuille de route, « qui présente un processus documenté et structuré de recueil du consentement avec le lancement de sa fonctionnalité d’Opt’In (janvier 2018) et sa Consent Management Platform (juillet 2018) ». « Aucune action visant la durée de conservation, la sécurisation et la minimisation des données n'a été demandée », rappelle-t-elle.

Publiée le 09 novembre 2018 à 16:06


Chargement des commentaires