L’année dernière, l’affaire Teemo a permis de dévoiler comment un SDK publicitaire installé dans certaines applications en France permettait de traquer les utilisateurs à leur insu.Suite à ce scandale et aux investigations qui en ont résulté, la CNIL (Commission Nationale de l’Informatique et des Libertés) vient officiellement d’annoncer la mise en demeure de Teemo, la société à l’origine de cette affaire, et de Fidzuo, un autre groupe soupçonné de s’adonner à des pratiques similaires. La CNIL estime en effet que les applications de tracking publicitaire développées par ces entreprises pistent leurs utilisateurs sans leur consentement.
Ces entreprises technologiques exploitent des SDK intégrés dans le code des applications mobiles de leurs partenaires qui leur permettraient de collecter les données des utilisateurs et de géolocaliser ces derniers même lorsque les applications incriminées ne sont pas utilisées.
La CNIL précise dans un communiqué en rapport avec cette annonce :
« ;S’agissant de la société TEEMO, ce “SDK” permet de collecter l’identifiant publicitaire des smartphones et les données de géolocalisation des personnes, environ toutes les cinq minutes. Ces données sont ensuite croisées avec des points d’intérêts déterminés par les partenaires (enseignes de magasins). Ils permettent d’afficher de la publicité ciblée sur les smartphones des personnes à partir des lieux qu’elles ont visités.
La société FIDZUP, quant à elle, installe un “SDK” au sein d’applications mobiles partenaires qui collecte les identifiants publicitaires mobiles et l’adresse MAC du smartphone. En parallèle, la société installe dans les points de vente partenaires des dispositifs “FIDBOX” permettant de collecter des données relatives à l’adresse MAC et à la puissance du signal WIFI des smartphones. Les données ainsi collectées sont croisées et leur traitement permet à la société d’effectuer de la prospection publicitaire géolocalisée sur les smartphones des personnes lors de leur passage à proximité d’un point de vente client de la société FIDZUP. ;»
Les utilisateurs de ces applis ne savent vraisemblablement pas que leurs données personnelles sont utilisées à des fins publicitaires, d’autant plus que Teemo et Fidzup sont installés par défaut dans ces applications et que l’utilisateur n’a aucun moyen de s’opposer à cette action. Autre fait marquant concernant seulement Teemo, cette entreprise conserve les données d’utilisateurs pendant 13 mois sans fournir de justification.
En réaction à cette annonce, Fidzupa déclaré par la voix de son fondateur : « ;Nous travaillons sur l’évolution de notre méthode de récolte du consentement depuis le début de l’année 2017. La mise en demeure publiée ce jour date d’un contrôle effectué à l’été 2017, moment où ce travail n’était pas encore finalisé et où nous considérions intervenir en tant que sous-traitant de nos partenaires éditeurs. ;» L’entreprise assure avoir depuis terminé le nouveau pop-up de récolte du consentement demandé par la CNIL et l’avoir prescrit à tous ses éditeurs partenaires.
« ;Aujourd’hui, Il appartient aux sociétés concernées par la mise en demeure de recueillir le consentement des utilisateurs dans les conditions prévues par la loi, et de définir une durée de conservation adéquate, pour que leur activité soit pleinement conforme aux textes », précise par ailleurs la commission. Les deux sociétés incriminées disposent de trois mois pour se conformer à la réglementation en vigueur (notamment à la loi « Informatique et Libertés » et au RGPD). Passé ce délai, la CNIL pourra les sanctionner si elles n’ont toujours pas pris les dispositions recommandées.
Source : CNIL
Et vous ?
Qu’en pensez-vous ? 
Envoyé par Bubu017
