Andy Samberg | Un Amor Inseparable | Business Productivity
publicité

Teemo peut relancer la collecte de données de géolocalisation en France


Business : La mise en demeure de la Cnil avait mis un coup d'arrêt à l'activité de Teemo, spécialiste du drive-to-store et de la collecte de données de géolocalisation des mobinautes. Désormais en conformité, Teemo peut se relancer. Avec la confiance des internautes ?

 

La donnée est l'avenir de l'entreprise, et même le présent pour nombre d'entre elles. C'est la philosophie du "data driven business", qui se propage aujourd’hui dans les organisations. Pour les enseignes de la distribution, une donnée revêt un intérêt tout particulier : la géolocalisation.

Cette donnée permet en effet de suivre les déplacements d'une personne et donc son passage dans ou près de points de vente. Bref, c'est un levier qui, exploité, peut contribuer à générer du chiffre d’affaires. Des acteurs ont perçu les opportunités qui s'offraient à eux et développé des services basés sur la géolocalisation. C'est le cas du drive-to-store.

De 10 millions de mobinautes à zéro

En France, plusieurs sociétés évoluent dans ce secteur. Elles s'appellent notamment Fidzup, Singlespot, Vectaury, Roofstreet et Teemo. Pour fonctionner et fournir des services aux marques et aux points de vente, elles ont donc besoin de données. Beaucoup. Les smartphones en fournissent plus que jamais auparavant. Mieux, les utilisateurs ne les quittent pas.

Teemo a rapidement grandi et constitué en France une base de plus de 10 millions de mobinautes (et pour chacun, recueilli des centaines de points de localisation chaque jour par identifiant publicitaire), mais pas sans attirer l'attention et susciter des interrogations, et en particulier celles-ci : les individus ont-ils conscience de partager leurs données de géolocalisation à des fins publicitaires et ont-ils donné un consentement valide à cette collecte ?

En juillet dernier, le régulateur français des données personnelles, la Cnil, a jugé que non et mis en demeure l'entreprise, comme un de ses concurrents, Fidzup. Les deux sociétés ont en commun de faire reposer leur modèle sur un SDK, un kit logiciel. Celui-ci est proposé à des éditeurs d'applications à large audience comme Le Figaro, Marmiton ou Closer.

L'app mobile embarquant ce code logiciel va ainsi faire remonter les données de géolocalisation à Teemo, qui rémunère l'éditeur en contrepartie. L'utilisateur du Figaro (qui a depuis retiré le SDK) en était-il informé et y consentait-il ? A moins de lire les CGU, c'est peu probable. C'est d'ailleurs ce qu'a jugé la Cnil, qui dans sa mise en demeure concluait que le "consentement n'est pas recueilli comme la loi l'exige."

Cette décision, par ailleurs rendue publique par l'autorité, a signé l'arrêt de l'activité de Teemo. Faute d'un consentement valide, impossible en effet, et même interdiction, pour l'acteur du drive-to-store de collecter la moindre donnée. Teemo a donc mis les bouchées doubles pour apporter les changements attendus par la Cnil et redémarrer son activité.

Mais de zéro. La base de données de Teemo contient "à date, zéro" donnée, confirmait le 8 octobre à ZDNet la directrice France de la société, Alexandra Chiaramonti. "Aux yeux de la Cnil, personne en France ne collectait la géolocalisation de façon conforme à leurs attentes. Le consentement n'était pas recueilli de manière légale. Dès lors, toute data collectée sans consentement conforme devait être effacée."

Des "ajustements", mais un modèle qui n'est pas remis en cause

De zéro donc - en tout cas en France -, mais Teemo est de nouveau sur les rails. Les demandes du régulateur ont visiblement été satisfaites puisque celui-ci a levé sa mise en demeure le 4 octobre. Les dirigeants de l'entreprise tiennent d'ailleurs à le faire savoir, comme ils souhaitent insister sur la légalité de leur activité.

"Notre promesse, qui est de générer des visites en point de vente, n'a jamais été remise en cause" souligne Alexandra Chiaramonti. En revanche, Teemo a dû procéder à "des ajustements", en particulier au niveau du recueil du consentement. Et celui-ci va donc s'effectuer au travers "d'une bannière" affichée dans les applications partenaires, points de collecte de la géolocalisation.

"Nous avons fait de nombreux allers-retours avec la Cnil et nous disposons aujourd'hui d'une bannière complètement validée conforme par la Cnil. Depuis la semaine dernière, nous demandons à nos éditeurs de la mettre en place pour pouvoir collecter la data à nouveau."

Afficher une bannière n'a été qu'une partie du travail cependant. Les termes utilisés sont eux aussi essentiels pour pouvoir prétendre à une conformité avec la législation :

"Quand on ouvre une application dans laquelle notre SDK est intégré, on voit une bannière qui détaille très précisément le fait qu'on va demander la géolocalisation, et ce à des fins publicitaires. Le mobinaute peut accepter ou refuser, mais en aucun cas on ne doit influencer le choix. C'est le principe du RGPD qui s'applique" détaille la responsable de l'entreprise.

Comment concrètement se présente cette bannière et quelle est la terminologie utilisée ? La dirigeante reste vague et n'a pas souhaité communiquer à ZDNet une copie de la bannière jugée conforme par la Cnil. Et celle-ci s'en explique :

"Je vais être tout à fait sincère : actuellement, nous sommes les seuls sur le marché à avoir une bannière complètement conforme. Nous bénéficions donc pendant un certain temps d'un avantage concurrentiel." Il faudra donc attendre que les premiers éditeurs partenaires (lesquels ?) la déploient pour se faire une idée plus précise de la manière dont le consentement peut désormais être recueilli par ces acteurs.

Le recueil du consentement aujourd'hui un avantage concurrentiel

Teemo a également apporté, au terme "d'échanges longs et complexes", des modifications aux délais de conservation des données selon les finalités, comme l'exigeait l'autorité de protection. Lorsque les données concernent une visite, les informations collectées sont "très précises" et conservées plus longtemps (12 mois).

Dans le cas contraire, la précision est moindre (géolocalisation sur une zone de 500 mètres par 500 mètres, contre 100x100 auparavant) et la durée de conservation réduite (30 jours pour les données brutes, puis celles-ci sont "dégradées" sous la forme d'une agrégation statistique).

La conformité est donc a priori assurée désormais. Les éditeurs doivent à présent insérer le SDK à jour à leurs applications et collecter légalement le consentement. Aucune donnée ne sera recueillie sans ce consentement, ce qui signifie une absence de rémunération pour les éditeurs qui ne l'appliqueraient pas.

"Si vous n'avez pas vu cette bannière et n'avez pas accepté le consentement, nous ne collectons pas la data" assure Alexandra Chiaramonti. De quoi rétablir la confiance ou les articles de presse et la mise en demeure laisseront-ils des traces et l'image d'une entreprise peu soucieuse de la vie privée ?

Aux Etats-Unis, une société dont les pratiques peuvent être comparées à celles de Teemo ou de Fidzup, InMobi, avait été sanctionnée dès 2016 par la FTC - alors même que la législation américaine sur les données personnelles y est plus souple. Cette décision, médiatisée dans le secteur, aurait pu alerter d’autres entreprises. Ces acteurs n'ont-ils pas profité d'un flou juridique ou fait simplement preuve de négligence ?

Les dirigeants de la société française, désormais aussi établie aux US, s'en défendent : "le contrôle de la Cnil a eu lieu en octobre [2017], et pour ne rien vous cacher, on les a harcelés pour avoir beaucoup de réponses. Le jour où nous avons reçu le courrier de mise en demeure, nous en avons été heureux. Nous nous disions 'enfin des réponses'."

Et si Teemo n'a pas réagi plus vite, ce serait en raison de "ces nombreuses questions sans réponse." Pour autant, la dirigeante assure que des mesures ont bien été prises avant même la mise en demeure : "dès juillet 2017, nous avons mis à jour tous nos contrats avec les éditeurs pour écrire noir sur blanc qu'il faut mettre une bannière de consentement et mettre à jour ses conditions d'utilisation (…)."

Teemo négligent ? "Nous avons fait du mieux que nous pouvions"

Si des éditeurs ont bien suivi ces dispositions contractuelles, la terminologie utilisée dans la bannière ne s'est pas révélée satisfaisante au regard de la loi. La mise en demeure aura permis "d'ouvrir un canal de communication privilégié avec la Cnil" et d'apporter les changements requis, selon Teemo, qui regrette l'absence d'échanges préalables - ainsi que la décision de la Cnil de rendre publique la mise en demeure.

Teemo réfute toute absence de préoccupation à l'égard de la confidentialité et déclare avoir recruté un DPO (data protection officer) en janvier et fait des démarches auprès d’un organisme privé pour conduire un audit externe et été certifié conforme. "Nous avons fait du mieux que nous pouvions, et malheureusement nous n’avons pas toujours eu les réponses que nous aurions aimé avoir."

L'entreprise estime à présent que le cadre réglementaire est clair et lui permet de fonctionner. Les éditeurs d'applis peuvent donc revenir. Y compris sur iOS ? Apple a en effet décidé en mai de retirer des applications de géolocalisation, dont Teemo, mais aussi des apps intégrant des SDK collectant ces données.

Mais pour Alexandra Chiaramonti, c'est une décision d'entreprise, comme celle de ne pas accepter les cookies tiers, et pas une remise en cause de la légalité d'un business model. Apple s'efforce en effet de se démarquer de ses concurrents, et en particulier de Google, sur la question de la confidentialité des données.    

"C'est un choix d'Apple et libre à eux d'opérer comme ils le souhaitent." La firme choisira-t-elle d'autoriser de nouveau ces applications à réintégrer l'Apple Store ? Impossible à dire aujourd'hui. Teemo assure néanmoins pouvoir opérer avec les seules données des terminaux Android (80% du marché des smartphones et 80% des données qu'elle collectait auparavant).

Une affaire qui aura eu "le mérite d'assainir le marché"

Mais l'actualité immédiate de Teemo, c'est la reprise d'activité. "Nous sommes aujourd'hui les seuls à avoir ce tampon de la Cnil et je suis contente de pouvoir retourner voir les éditeurs. Nous avons acquis une certaine assurance pour exiger que ce soit cette bannière et seulement celle-ci qui soit implémentée. Et surtout leur dire que je ne pourrais pas les rémunérer tant qu'ils ne l'auront pas fait, ce qui n'était pas forcément facile avant."

A quelque chose malheur est bon, et Alexandra Chiaramonti espère que "la publicité de toutes ces affaires aura permis de clarifier le discours et aura le mérite d'assainir ce marché. Je pense que cela va permettre de restaurer la confiance (…) Si on travaille avec nous, c'est dans la légalité. On sait exactement quoi faire pour être dans la conformité, et normalement cela permet d'éviter tout doute ou suspicion sur la légalité de l'activité."

Mais l'intervention de la Cnil pourrait aussi encourager éditeurs et autres acteurs exploitant des données personnelles collectées via des apps mobiles, au travers ou non de SDK, à se poser la question de la (co)responsabilité des traitements, de la transparence, du consentement et de son recueil de manière conforme.

Combien d'éditeurs partagent aujourd'hui des données de leurs utilisateurs avec des tiers, par exemple à des fins publicitaires, sans les en informer explicitement avant l'installation sur le terminal et en recueillant légalement leur consentement ? L'écosystème doit certainement évoluer vers une plus grande transparence. Un véritable changement culturel.

A lire aussi :

Teemo et Fidzup : la publicité mobile et géolocalisée épinglée par la Cnil

Les applications mobiles recueillent souvent beaucoup de données, notamment au profit de partenaires comme Teemo et Fidzup...

Articles relatifs

Contenus sponsorisés

Contenus partenaires

Réagissez à l'article

Connectez vous ou Enregistrez-vous pour commencer la discussion
publicité