Les deux start-up spécialisées dans la récolte et l’analyse de données ont été mises en demeure officiellement, et publiquement par la Cnil, jeudi 19 juillet, pour non-respect du consentement des utilisateurs. Grâce à un outil appelé « SDK », sorte de cookie pour le mobile, intégré dans le code d'applications mobiles d’éditeurs partenaires (un média, une application de recette de cuisine, un jeu…), elles peuvent collecter les données des utilisateurs de smartphones, et techniquement, même lorsque ces applications ne sont pas en fonctionnement.
Quelles données ? Celles de géolocalisation, en grande partie. Le but est de mesurer, à intervalle régulier (toutes les cinq minutes environ), la localisation d’un utilisateur. Lorsqu’on connaît son trajet, on peut alors déterminer, grâce à une cartographie des magasins, s’il est entré dans une boutique, et le retargeter ensuite via une publicité. Cela permet de mesurer l’impact d’une campagne, mais également de mieux connaître le comportement de ses cibles. Des objectifs en plein essor sur le marché de la distribution, puisque ces technologies font le pont entre le magasin physique et le numérique.
Les éditeurs, de leur côté, monétisent leurs audiences. Non pas directement, en échangeant cette donnée contre de l’argent, mais plutôt en étant privilégié dans l’achat publicitaire. Si l’achat d’espace se fait en programmatique, l’algorithme de l’entreprise choisit alors en priorité, pour une partie des impressions, les applications qui possèdent son SDK.
Une décision de la Cnil pour l'exemple
Mais pour obtenir la donnée de géolocalisation par le SDK il faut le consentement de l’internaute. Si Teemo et Fidzup ont indiqué traiter ces données avec l’autorisation des utilisateurs, la Cnil a observé dans son audit réalisé à l’été 2017 pour Fidzup, et en octobre 2017 pour Teemo, que le consentement des internautes mobiles n’était pas toujours recueilli correctement. Les consommateurs n’étaient pas au courant de l’intégration du SDK au sein de l’application, ou alors de la finalité du recueil de la géolocalisation.
Autre point pour lequel la Cnil a vu rouge : le fait qu’il était impossible de télécharger les applications sans le SDK, et donc de l’utiliser sans fournir ses données (ce qui reste le cas dans de nombreuses applications…).
La Cnil a tenu à en faire un exemple. Non contente de les mettre en demeure de se plier à la règlementation en vigueur dans les trois mois, elle a tenu à rendre publique cette décision. « Au regard de la nature des manquements, du nombre de personnes concernées par ces traitements et de la nécessité de sensibiliser les professionnels du secteur sur les enjeux liés au recours à ce type de technologie » explique-t-elle dans sa décision. Et elle promet d’être vigilante à l’avenir pour toutes les sociétés qui font intervenir un SDK.
Teemo, par la voix d’Alexandra Chiaramonti, sa directrice générale, a réagi auprès de Stratégies. Si la société accepte cette décision, elle s’interroge cependant. « Nous avons été surpris de la décision de publication. La Cnil nous confirme que son objectif est de sensibiliser l’écosystème. C’est un moyen de communiquer sur les guidelines qui feront dorénavant foi pour tout le marché de la donnée géolocalisée. Mais cette décision de publication est soudaine car après avoir tenté d’échanger très régulièrement avec la Commission et ce, depuis leur dernier passage en octobre 2017 ; nous avons eu moins de 12h pour pouvoir communiquer la nouvelle auprès de nos clients et partenaires. »
Car en parallèle, Fidzup et Teemo travaillaient à se mettre en conformité depuis des mois. « Nous travaillons sur l'évolution de notre méthode de récolte du consentement depuis le début de l'année 2017. La mise en demeure publiée ce jour date d'un contrôle effectué à l'été 2017, moment où ce travail n'était pas encore finalisé et où nous considérions intervenir en tant que sous-traitant de nos partenaires éditeurs, explique Olivier Magnan-Saurin, CEO et co-fondateur de Fidzup. Nous proposions alors le pop-up en option et ne l’imposions pas à nos partenaires. Depuis Fidzup a terminé le nouveau pop-up de récolte du consentement demandé par la Cnil et l'a prescrit à 100% de ses éditeurs partenaires. Nous allons donc notifier la Cnil en ce sens. »
Idem chez Teemo, « les éditeurs et Teemo sont co-responsables de la collecte du consentement, explique Alexandra Chiaramonti. Nous les accompagnons depuis des mois sur ce sujet et avons notamment mis à jour tous nos contrats qui obligent les éditeurs à mettre à jour leur politique de vie privée et également à collecter un consentement. Le marché a tardé à se structurer et proposer des solutions clés en main, c’est ce sur quoi nous travaillons actuellement pour les quelques éditeurs non conformes. Ceux-ci ont été contactés à nouveau et ont pris le sujet d’autant plus à bras-le-corps. La relation de confiance que nous avons bâtie avec eux de longue date contribuera à accélérer cette mise en conformité rapide. Le cas échéant, nous interromprons nos relations commerciales avec ces éditeurs jusqu’à ce qu’ils soient en mesure de se rendre conformes aux recommandations énoncées ce jour par la Cnil. »
Peur sur la géoloc
Mais le mal est fait. Selon nos informations, des clients (au moins deux) ont d'ores et déjà changé de prestataires pour certaines de leurs campagnes. D’autres demandent des clarifications, et interrogent les autres sociétés utilisatrices de SDK afin de savoir comment elles fonctionnent, et quelles en sont les différences avec ceux des deux sociétés. Le milieu s’inquiète, discute, et c’est toute la géolocalisation qui est en émoi.
Un émoi qui devrait peu à peu sortir du milieu professionnel. « À la suite de la dépêche AFP, l’info sera reprise et c’est tout le secteur de la géolocalisation qui sera pointé du doigt, déplore un expert. Tout le monde sera mis dans le même panier. » Et in fine, tous les consommateurs finaux refuseront catégoriquement d’être suivis.
Pourtant, les questions autour du consentement autour des SDK ne sont pas nouvelles. Et depuis plusieurs mois, d’autres technologies de géolocalisation ont vu le jour. Plutôt que de revendiquer un nombre étendu d’internautes précis suivis, d’autres sociétés préfèrent se restreindre à un panel d’utilisateurs dont le consentement est assuré, et d’extrapoler ensuite les résultats. D’autres techniques, encore, se basent sur les connexions d’appels publicitaires lors des enchères (bids requests) pour avoir accès à ces informations, comme la société AdUX. Une dernière pratique qui elle aussi, questionne sur la notion de consentement.
Une histoire de chiffres
Autre point, et non des moindres, l’enquête de la Cnil pose la question du reach du SDK. Teemo, qui revendiquait suivre 10 millions d’internautes en permanence, en étant présent dans de nombreuses applications, possédait bien 13 millions d’identifiants publicitaires dans sa base de données (réalisée sur 13 mois). Mais la Cnil, sur une journée, n’a relevé que 1,6 million d’identifiants différents géolocalisés. Cela signifie que Teemo, sur une journée, n’a pu géolocaliser au moins une fois, qu’1,6 million de personnes. Le nombre de personnes suivies en continu est donc, au maximum, équivalent à 1,6 million, mais sûrement inférieur. Car si l’utilisateur n’accepte d’être géolocalisé que lorsqu’il utilise l’application - ce qui constitue la grande partie de ceux qui acceptent la géolocalisation - il devient impossible de le suivre en continu. Il faudrait s’assurer qu’il consulte le média partenaire en magasin pour savoir s’il se trouve effectivement dans ledit magasin…
In fine, ce chiffre mesuré par la Cnil, et révélé dans le détail de sa décision, lève le voile sur un décalage entre ce qui est communément admis en termes de reach par ce mécanisme, et la réalité. Un décalage qui devrait amener certains annonceurs à se questionner.
Toujours est-il qu'il reste trois mois aux entreprises pour se mettre en conformité, avant que la Cnil ne leur tape directement sur les doigts. « Une mise en demeure n’est en aucun cas une sanction, mais une liste de recommandations à mettre en place sous trois mois, tient à préciser Alexandra Chiaramonti. Une fois celles-ci mises en place, les autorités pourront valider notre activité et nous permettront d’être une société de donnée géolocalisée estampillée Cnil.»
Certes, mais une telle nouvelle, à peine deux mois après la mise en place du RGPD, en termes d'image, n'est-ce pas déjà une sanction ?