La Fibre
Télécom => Télécom => 
Veille technologique => Discussion démarrée par: vivien le 25 mai 2018 à 07:32:49
-
RGPD (Règlement Général sur la Protection des Données) c'est parti !
Ce 25 mai entre en application le Règlement Général sur la Protection des Données (RGPD). C'est un standard de protection élevé, face aux dérives observées par certains sites ou applications.
(https://lafibre.info/images/doc/201805_logo_rgpd.png)
Que vous soyez particulier ou professionnel, cette nouvelle réglementation vous permet d'exercer un plus grand contrôle sur vos données: Cela inclut plus de transparence (pouvoir consulter à tout moment ses données, fournir des informations sur les données recueillies et la façon dont elles sont utilisées), la possibilité de retirer son consentement, le droit à la rectification, le droit à la portabilité et le droit à l'oubli. Et si vous êtes une entité (entreprise, association, organisme public, etc.), elle vous impose de mettre en place des mesures techniques et organisationnelles afin de garantir la sécurité et le bon usage des données clients que vous manipulez.
(https://lafibre.info/images/doc/201805_Eulerian_Technologies_Infographie_RGPD.jpg)
(infographie réalisée par Eulerian Technologies)
Vous avez du recevoir de nombreux mails ces dernières semaines de services que vous avez oubliés, qui vous demandent votre accord pour exploiter vos données personnelles, vu qu'il faut maintenant votre accord explicite. Certains comme twitter ou facebook nécessite de répondre a des questions lors de la connexion pour continuer à utiliser le service. Pour Windows 10, c'est lors de la migration vers Windows 10 version 1803 que les questions sont posées. Contrairement a ce qui se faisait dans la passé, il n'est plus possible de passer rapidement la page et de tout accepter : il est nécessaire de répondre aux questions pour continuer.
De nombreux sites ont mis à jour leur "politique de protection des données personnelles", leur "politique de confidentialité", leur "conditions générales", leur "conditions d’utilisation" ,leur "mentions légales", leur "déclaration de confidentialité" ou leur "convention d'adhésion"...
Certains sites vous sont inconnus, j'ai par exemple été étonné de recevoir un mail de western digital pour la mise en conformité RGPD : J'avais du retourner un disque dur HS sous garantie il y a quelques années.
Le RGPD concerne tous sites accessibles aux européens. Une entreprise installée loin de l’Union est également impactée par ces obligations puisque les critères de territorialité sont très vastes. Les entreprises qui ne respecteraient pas le RGPD seront passibles d'amendes allant jusqu'à 4% de leur chiffre d'affaires annuel global ou atteindre les 20 millions d'€, le plus élevé de ces montants étant retenu.
En France, 19 décrets d’application sont en retard: faute de texte, c’est le RGPD européen qui s’applique sans nuance.
Mounir Mahjoubi, Secrétaire d'État au Numérique nous explique le RGPD :
https://lafibre.info/videos/securite/201805_rgpd_mounir_mahjoubi.mp4
Et LaFibre.info ?
J'ai mis à jour la page Mentions légales LaFibre.info (https://lafibre.info/forum/mentions-legales/) le 9 mai 2018. Le texte n'est pas encore définitif, il y a des formulations a améliorer des choses oubliées, d'autres à détailler.
https://LaFibre.info n'est pas assujetti à la désignation d'un délégué à la protection des données. Le site n'utilise pas de tracking type Google Analytics ou de boutons Facebook / Twitter, pas de tracking publicitaire vu qu'il n'y a pas de publicité,... c'est plus limité que pour d'autres sites. Bien entendu, aucune information personnelle n’est collectée à votre insu, aucune information personnelle n’est cédée à des tiers et aucune information personnelle n’est utilisée à des fins non prévues.
Dans les changement effectués pour le RGPD, il y a la suppression automatique des informations personnelles (mail, préférence du site, messages privés) après un délai de 10 ans sans connexion. Il me semble en effet qu'il n'est pas possible de conserver sans limite de durée ces informations. Conséquence : les profils des personnes qui ne se sont pas connectés depuis 10 ans sur le forum sont supprimés. Les messages postés restent : ils passent en "invité" (plus de détails dans les mentions légales (https://lafibre.info/forum/mentions-legales/))
Le délai de 10 ans avant suppression automatique du compte est un choix de ma part pour essayer de respecter une proportionnalité, car la loi ne fixant pas de limite fixe : c'est a chaque site de fixer la limite en fonction de son besoin. Par contre des données personnelles ne peuvent pas être gardé sans limite de durée.
Je ne pense pas être complétement en phase avec tous les articles du RGPD, n'hésitez pas a me signaler des point à améliorer. L'adresse IP utilisée pour chaque message posté est archivée tant que le message existe, je pense que c'est moyennement compatible RGPD, mais SMF ne propose pas encore de solution simple pour supprimer les IP. Note: Archiver les IP est une obligation légale, au moins pendant un an.
-
Des dizaines de sites ferment, faute de conformité avec le RGPD :
Certains sites se mettent à jour, mais d'autres décident de fermer :
- Le service anti-spam Unroll.me admet revendre les données personnelles de ses utilisateurs et bloque les utilisateurs qui se déclarent européen depuis aujourd'hui. C'est déclaratif, il suffit de dire que l'on n'est pas européen pour accéder au service : https://unroll.me/ (a priori cela ne serait pas conforme au RGPD)
(https://lafibre.info/images/presse/201805_rgpd_unroll.me.png)
Si vous cliquez sur Yes, vous avez le message "Unfortunately, Unroll.Me is temporarily unavailable in the EU and EAA."
- Le service de sauvegarde d'articles Instapaper vient lui aussi de fermer pour les Européens, le temps de se conformer au texte, mais là il n'est pas possible d'y accéder depuis une IP européenne, un VPN est nécessaire.
(https://lafibre.info/images/presse/201805_rgpd_instapaper.png)
- Le jeu de combat en arène développé par Uber Entertainment "Super Monday Night Combat" a fermé ses portes le 23 mai. Se conformer au règlement serait trop coûteux.
(https://lafibre.info/images/presse/201805_rgpd_super_monday_night_combat.png)
- Le service Tunngle, qui permettait de simuler un réseau local sur Internet pour les jeux le réclamant pour le multijoueur, a mis la clé sous la porte le 30 avril. Le coût d'adaptation au règlement est aussi invoqué.
(https://lafibre.info/images/presse/201805_rgpd_tunngle.png)
- Parity, une entreprise spécialisée dans les crypto-monnaies, coupe aujourd'hui son service Picops, destiné à garantir l'identité des possesseurs de portefeuilles Ethereum.
(https://lafibre.info/images/presse/201805_rgpd_picops.png)
-
NextINpact (https://www.nextinpact.com/news/106639-ces-services-qui-jettent-eponge-face-au-rgpd.htm) a noté d'autre cas de fermeture de site :
- Apple a récemment retiré certaines applications de l'AppStore, dont celles de médias français, pour l'intégration de Teemo, un outil de géolocalisation des mobinautes. Il est reproché à Teemo une collecte sans consentement, pour des motifs inappropriés.
- Drawbridge, spécialiste du tracking d'un internaute sur plusieurs terminaux, coupe aussi son activité européenne. Il n'est pas possible d'obtenir le consentement explicite de chaque internaute pour son tracking, vu que son service ne leur apparaît jamais.
- L'éditeur de jeux en ligne Gravity Playground (exemple Ragnarok Online) annonce : « Tous les comptes enregistrés depuis l'Europe seront désactivés le 25 mai. Tout accès depuis l'Europe sera interdit et nous n'accepterons plus d'utilisateurs européens sur notre service »
- Le jeu en ligne Loadout (neuf millions de joueurs), a fermé le 24 mai : « Nous protégeons toujours votre vie privée, et nous ne voulons rien d'autre. Nous n'avons simplement pas les moyens de remanier Loadout et implèmenter de nouvelles fonctions pour répondre à la longue liste de nouvelles obligations »
(https://lafibre.info/images/doc/201805_rgpd_loadout.png)
- Le site de statistiques Steam Spy a fermé: depuis la mi-avril, Valve a passé l'ensemble des profils de ses membres en privé par défaut, le privant de ces précieuses données.
- Verve (spécialiste de la géolocalisation) a fermé ses bureaux à Londres et Munich. « Nous avons déterminé que la régulation n'est pas favorable à notre modèle économique spécifique »
NextINpact a également réalisé un analyse complète du Règlement Général sur la Protection des Données : (ces analyses sont accessibles gratuitement à tous)
- Le RGPD expliqué ligne par ligne (articles 1 à 23) (https://www.nextinpact.com/news/106135-le-rgpd-explique-ligne-par-ligne-articles-1-a-23.htm)
- Le RGPD expliqué ligne par ligne (articles 24 à 50) (https://www.nextinpact.com/news/106168-le-rgpd-explique-ligne-par-ligne-articles-24-a-50.htm)
- Le RGPD expliqué ligne par ligne (articles 51 à 99) (https://www.nextinpact.com/news/106169-le-rgpd-explique-ligne-par-ligne-articles-51-a-99.htm)
Un beau travail de Marc Rees, rédacteur en chef de Next INpact
De nombreux site disent appliquer le RGPD mais ne sont pas conforme...
Les sites sont tenus de lister les données à caractère personnel manipulées. Pour certains cela se résume a un paragraphe comme ceci :
site.fr traitera à cet égard les données à caractère personnel suivantes :
- Données d’identification
- Préférences
Les sites sont tenus d'expliquer la finalité de traitement des données à caractère personnel. Pour certains cela se résume a un paragraphe comme ceci :
Il existe 5 finalités essentielles :
1-Parce que site.fr a besoin de vos données à caractère personnel pour satisfaire à une obligation légale.
2-Parce que vos données à caractère personnel sont nécessaires pour conclure ou exécuter un contrat.
3-Parce que site.fr doit pouvoir continuer à fonctionner de manière optimale tout en respectant son engagement envers vous.
4-Parce que site.fr entend pouvoir vous fournir des informations commerciales.
5-Parce que le site et l’application doivent correspondre à vos préférences.
La Cnlil avait prévenue :
Vigilance - « Mise en conformité RGPD »
Ces derniers mois, la CNIL a publiquement dénoncé, à plusieurs reprises, les agissements de sociétés promettant de manière peu scrupuleuse une mise en conformité « clé en main » au RGPD. Leur technique : insister sur les sanctions financières encourues, se présenter comme «labellisées», «certifiées» ou «recommandées» par la CNIL et vous adresser une simple documentation ou vous proposer un échange a minima en guise d’accompagnement.
Dans cette dernière ligne droite avant l’entrée en application du règlement européen (le 25 mai), la CNIL appelle une nouvelle fois à la vigilance et rappelle que de tels démarchages ne se font pas à son initiative ou avec son soutien.
La mise en conformité au RGPD nécessite plus qu’un simple échange ou l’envoi d’une documentation sur le RGPD. Elle suppose un vrai accompagnement, par une personne qualifiée en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps. Il est nécessaire, avant tout engagement, de chercher en ligne des informations sur la société qui prend contact avec vous. Si le doute persiste, vous pouvez nous contacter au 01 53 73 22 22.
Pour vous aider dans votre mise en conformité au RGPD, la CNIL publie des contenus pratiques. Vous pouvez notamment consulter « RGPD : ce qui change pour les pros (https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels) » ainsi que le nouveau « Guide de sensibilisation pour les petites et moyennes entreprises (https://www.cnil.fr/fr/la-cnil-et-bpifrance-sassocient-pour-accompagner-les-tpe-et-pme-dans-leur-appropriation-du-reglement) »
(https://lafibre.info/images/doc/201805_rgpd_cnil_4_etapes.jpg)
Source : CNIL (https://www.cnil.fr/fr/vigilance-mise-en-conformite-rgpd)
-
Les Cookies et le RGPD : Possibilité de retirer son consentement
Le RGPD impacte aussi la politique relative aux cookies des sites.
Je reprend l'exemple de western digital : Connaissez-vous la liste des cookies que vous ne pouvez pas refuser pour un retour sous garantie ?
(https://lafibre.info/images/presse/201805_western_digital_cookies.png)
-
Pour Windows 10, c'est lors de la migration vers Windows 10 version 1803 que les questions sont posées. Contrairement a ce qui se faisait dans la passé, il n'est plus possible de passer rapidement la page et de tout accepter : il est nécessaire de répondre aux questions pour continuer.
Ces réglages, c'est un peu du placebo quand on sait que la seule version "à peu près" silencieuse est la version Enterprise...
-
Et surtout, chose amusante, j'ai réalisé l'upgrade 1803 de mon Windows 10 S, celui qui est incapable d’exécuter une application Win 32 : L'upgrade se fait sans rien demander pour la mise en conformité RGPD.
J'ai comme l'impression que l’exécutable qui pose les questions a été bloqué par le mode S (car on bascule sur Windows 10 Pro avec le mode S activé)
-
Ces réglages, c'est un peu du placebo quand on sait que la seule version "à peu près" silencieuse est la version Enterprise...
C'est trop tot. Vue l'omniprésence de Windows, je suis sur que les fanatiques du DGPR vont faire en sorte que tout soit dans les clous , je ne m’inquiète pas pour ca.
-
Microsoft se sert du RGPD pour pousser la mise à jour Windows 10 1803 :
Copie d'écran d'un Windows 10 Pro 1709 :
(https://lafibre.info/testdebit/windows10/201805_Windows10_1803_RGPD_01.png)
La mise à jour proposée :
(https://lafibre.info/testdebit/windows10/201805_Windows10_1803_RGPD_02.png)
(https://lafibre.info/testdebit/windows10/201805_Windows10_1803_RGPD_03.png)
(https://lafibre.info/testdebit/windows10/201805_Windows10_1803_RGPD_04.png)
-
Ces réglages, c'est un peu du placebo
Voici les réglages proposés, comme vous pouvez le voir, il n'est pas possible de cliquer sur Accepter directement :
il faut avant cliquer sur une des deux options et cliquer sur une option n'est pas suffisant pour passer a la suite, il faut ensuite cliquer sur accepter, il y a deux deux clics à faire par écran, ce qui m'étonne, je pense qu'il était possible de faire une solution compatible RGPD avec moins de clics.
(https://lafibre.info/testdebit/windows10/201805_Windows10_1803_RGPD_05.png)
(https://lafibre.info/testdebit/windows10/201805_Windows10_1803_RGPD_06.png)
(https://lafibre.info/testdebit/windows10/201805_Windows10_1803_RGPD_07.png)
-
(https://lafibre.info/testdebit/windows10/201805_Windows10_1803_RGPD_08.png)
(https://lafibre.info/testdebit/windows10/201805_Windows10_1803_RGPD_09.png)
-
A la fin de la mise à jour, surprise, un raccourci vers Edge a été rajouté sur le bureau (c'est mieux que les précédentes mises à jour où Edge devenait le navigateur par défaut, alors qu'on avait changé ce paramètre avant la mise à jour)
(https://lafibre.info/testdebit/windows10/201805_Windows10_1803_RGPD_10.png)
C'est presque triste pour Microsoft, de voir que malgré tout ses efforts pour imposer son navigateur, il a une part de marché minime...
-
Le RGPD impacte aussi les RH...
Votre département RH est-il prêt pour le RGPD ?
Le règlement général sur la protection des données (RGPD) entre en vigueur aujourd'hui et avec lui, une multitude de règles sur la manière dont les entreprises collectent, traitent, stockent, protègent et suppriment les données. Ces règles s'appliquent à toute entreprise qui traite les données de ressortissants de l'Union européenne, et le non-respect de ces règles exposera l'entreprise à des amendes pouvant atteindre jusqu'à 4 % de son chiffre d'affaires annuel mondial.
Dans le cadre du RGPD, les droits de la personne et les obligations des responsables du contrôle et du traitement des données à caractère personnel ont été renforcés afin de mieux protéger la vie privée des individus. Dans le genre, le secteur des ressources humaines fera l’objet d’une attention particulière.
Voici quatre pratiques du RH impactées par le RGPD :
Le consentement
Si les professionnels des ressources humaines ont toujours exigé le consentement des postulants ou des salariés pour recueillir leurs données personnelles, la définition du consentement change. Désormais, il doit être « précis, éclairé et sans ambiguïté ». Par ailleurs, la qualité de donnée personnelle a été élargie et inclut désormais des informations comme les adresses IP ainsi que les coordonnées bancaires, numéros de téléphone, etc. Une transparence totale est exigée sur le type de données détenues et leur finalité. De même que la façon dont ces données ont été obtenues et la base légale sur laquelle cette collecte a été effectuée. Notamment : Est-ce que cette collecte entre dans la catégorie des intérêts légitimes ? Le traitement des données est-il nécessaire à l'exécution d'un contrat dans lequel l'intéressé est partie prenante ?
La personne concernée a également le droit de demander l'accès à toutes les informations détenues par l'entreprise la concernant. Une fois la demande effectuée, l’entreprise doit fournir ces informations sans frais, dans un délai de 30 jours. Le postulant a également le droit de révoquer son consentement à tout moment et de demander à l'entreprise de ne plus détenir et de supprimer tout renseignement personnel. Cela signifie que les recruteurs doivent tenir à jour un registre des consentements et des activités de traitement des données. Ils doivent également être en mesure d'expliquer pourquoi certaines données sont collectées et conservées et prouver que ces informations sont utilisées conformèment à l'usage auquel elles sont destinées. Par exemple, si un candidat envoie son CV par courrier électronique, son adresse mail ne peut pas servir à des campagnes de marketing ou de vente. En termes de conformité, la charge de la preuve incombe aux responsables du contrôle et du traitement des données, si bien que les services RH doivent clairement définir le support, les conditions d'obtention des données et leur stockage.
L'information aux salariés
Les cyberattaques étant de plus en plus fréquentes et de plus en plus sophistiquées, le RGPD a également pour but de rendre les entreprises plus responsables en cas de vols de données. Toute violation de la sécurité ou de la vie privée doit être signalée aux parties concernées dans les 72 heures après la découverte de l'incident. Les départements RH doivent mettre en place des processus clairs pour identifier les violations et les signaler dans les délais prévus.
L'accès à ses données
L'un des éléments clés de la conformité au RDPP concerne la limitation de l’accès aux données personnelles des postulants ou des salariés à des personnes autorisées. Les équipes RH devraient rechercher des solutions pour assurer la sécurité ultime des données sensibles. Le chiffrement en est une. Le département RH peut aussi ajouter des procédures d'authentification rigoureuses, comme des mots de passe à trois niveaux de sécurité. Ces solutions limitent les possibilités d'attaques ou d'accès à l'information par négligence.
La suppression des données personnelles
Les services RH ne peuvent plus stocker indéfiniment les données personnelles. Il leur faut désormais un motif raisonnable et justifiable pour conserver ces données. Ils doivent mettre en place des politiques solides justifiant la conservation d’informations sur les candidats après que le poste pour lequel ils ont postulé a été pourvu. Ils doivent également réfléchir à la manière de communiquer cette information aux futurs salariés potentiels. Éventuellement, ces données peuvent être conservées en cas de nouvelle opportunité d’embauche. Un courriel expliquant la politique du recruteur et demandant le consentement de l’intéressé peut éviter des déconvenues.
Conformité avec des tiers
En tant que responsable du traitement des données, le département des ressources humaines peut également être tenu responsable des tiers qui traitent des données personnelles en son nom. Les professionnels des RH doivent faire l’inventaire des logiciels ou des plates-formes qu'ils utilisent et s'assurer qu'ils sont conformes au RGPD. Il est également important de noter qu'aucune plate-forme n’implique automatiquement que son utilisateur est conforme au règlement. Seules les politiques de l’utilisateur sont en mesure de garantir cette conformité. Par exemple, même si certains systèmes facilitent la gestion des données, leur utilisation ne garantit pas qu’ils sont conformes avec le règlement général sur la protection des données.
Source : Le Monde Informatique (https://www.lemondeinformatique.fr/actualites/lire-votre-departement-rh-est-il-pret-pour-le-rgpd%C2%A0-71856.html), article rédigé par Aoife Geary, IDG(adaptation Jean Elyan) le 25 mai 2018.
-
C'est presque triste pour Microsoft, de voir que malgré tout ses efforts pour imposer son navigateur, il a une part de marché minime...[/size]
triste ?
ils ont toujours pas compris comment ca marche de nos jours. Ils sont resté bloqué dans leur glorieux passé ou il suffisaient qu'ils fassent un truc pour que tout le monde suivent aveuglement tellement l'hégémonie de Windows était importante.
De nos jours ca ne marche plus comme ca. Déjà s'ils veulent s'imposer il faut couvrir Android et iOS en premier, pas en dernier. Il faut Mac et Linux aussi car les devs bossent la dessus et pas sur Windows. C'est pas leur misérable 'Ubuntu Bash for Windows' qui va ramener les devs sur Windows.
Leur problème aujourd'hui c'est que Windows est la dernière plateforme cible quand on fait du soft et plus la 1ere. Mais il font l'inverse.
Microsoft sait bien que ce sont les devs qui font le succès d'une plateforme. cf le fameux 'developers, developpers, developers'.
Pourtant y'a rien dans Edge pour attirer les devs alors qu'il y a tout dans Chrome. Chrome est open source, pas Edge. Chrome innove et pousse de nouvelles features sur le web en permanence (https://www.chromestatus.com/features) et convainc les autres navigateurs de suivre. je dis bien "convaincre" et pas "impose" avec des techniques de coercition comme MS sait si bien faire. Edge ne fait que suivre pour le moment. De toute façon une nouvelle feature qui n'est pas dispo sur tout les plateformes a peu de chance de décoller.
Bref franchement pour moi, Edge c'est le navigateur de trop. Il n'apporte rien au monde a part de la confusion pour les utilisateurs lambda de Windows.
-
Microsoft répond même le week-end sur twitter.
J'ai demandé :
@WindowsFrance En quoi les données de diagnostique de #Windows10 aident à "veiller à ce que Windows reste sécurisé et à jour" ?
Il n'est pas possible de diminuer le nombre de clics en restant #RGPD compatible ?
(https://lafibre.info/testdebit/windows10/201805_Windows10_1803_RGPD_08.png)
La réponse :
Bonjour, Cela permet de justement vérifier sur les ordinateurs la sécurité vis-à-vis de ce que chacun utilise et donc améliorer celle de tot le monde au fur et à mesure des mises à jour. Si vous avez une autre question, n'hésitez pas. Bonne journée. -MJ 😇
-
En une semaine, avec cette mise à jour, j'ai déjà trois clients qui m'ont appelé parce qu'ils étaient bloqués suite à une mise à jour …
Celle la meme …
De toute facon, quoi que fasse MS, c'est un incident à chaque fois …
-
Si vous avez un site et que vous devez faire des conitions générales, ceci va vous intéresser :
L'Isoc (Internet Society France) propose depuis aujourd'hui un générateur de CGU simplifiées en 1 page, compréhensibles par tous : https://confiance.isoc.fr/generateur-cgu/
Le projet n’a pas vocation à analyser, classifier ou juger les conditions générales des sites Internet, mais bien de permettre une lisibilité de ces conditions générales, et ce sous la seule responsabilité des éditeurs. Les éditeurs s’engageant dans la démarche pourront faire bénéficier à leurs utilisateurs et clients.
Ce projet s’inscrit dans la démarche éducative de l’Internet Society et est financée par l’Internet Society Monde.
-
Vie privée: la CNIL réagit à la publicité mobile et géolocalisée:
Teemo et Fidzup: la publicité mobile et géolocalisée épinglée par la Cnil
Les applications mobiles recueillent souvent beaucoup de données, notamment au profit de partenaires comme Teemo et Fidzup au travers de SDK (Kit de développement (https://fr.wikipedia.org/wiki/Kit_de_d%C3%A9veloppement)). Les utilisateurs sont-ils informés ? Pas pour la Cnil qui met en demeure les deux entreprises pour non recueil du consentement.
Le recueil du consentement est un point clé de la protection des données personnelles. Avec le RGPD, l’obligation du consentement (https://www.zdnet.fr/actualites/le-rgpd-exige-enfin-un-consentement-eclaire-39861032.htm) a encore été renforcée. Et les autorités de protection entendent le rappeler.
La Cnil a ainsi rendu publiques deux mises en demeure pour "absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire." Sont visées les sociétés Teemo et Fidzup (https://www.cnil.fr/fr/applications-mobiles-mises-en-demeure-absence-de-consentement-geolocalisation-ciblage-publicitaire).
Des apps écrans de la collecte de donnée
Ces entreprises ne développent pas directement des applis mobiles, mais s’appuient sur des éditeurs à qui elles fournissent un SDK. Cet outil est intégré au code de leurs apps et permet la collecte de certaines données des utilisateurs, comme la géolocalisation.
En contrepartie, les éditeurs (Le Figaro, L'Equipe, Closer...) (https://www.numerama.com/politique/282934-enquete-comment-les-apps-figaro-lequipe-ou-closer-participent-au-pistage-de-10-millions-de-francais.html) peuvent monétiser leurs applications. Mais les utilisateurs de ces applications "partenaires" sont-ils informés de la collecte de leurs données à des fins de ciblage publicitaires et ont-ils donné un consentement explicite à ces traitements ?
Dans le cas de Teemo et Fidzup, la Cnil juge que non. L’autorité a donc prononcé une mise en demeure pour chacune d’elle et choisi en outre de la rendre publique. Une décision justifiée par "la nature des manquements", le "nombre de personnes concernées par ces traitements et de la nécessité de sensibiliser les professionnels du secteur sur les enjeux liés au recours à ce type de technologie."
Cette publicité devrait avoir pour effet de sensibiliser les autres acteurs concernés par ces pratiques et en particulier l'usage de SDK. Et si le message n’était pas suffisamment clair, la Cnil prévient qu’elle "sera amenée dans les mois à venir à porter une attention particulière aux différents intervenants de la chaine d'acteurs dans laquelle intervient l'utilisation du SDK."
Le SDK, Teemo et Fidzup en font donc usage pour collecter des données personnelles via les smartphones (même lorsque les applications intégrant l’outil ne sont pas en fonctionnement) et réaliser des campagnes publicitaires sur mobiles.
Dans un communiqué (https://www.cnil.fr/fr/applications-mobiles-mises-en-demeure-absence-de-consentement-geolocalisation-ciblage-publicitaire), la Cnil précise que Teemo recueille "l'identifiant publicitaire des smartphones et les données de géolocalisation des personnes, environ toutes les cinq minutes." Ces données sont ensuite croisées "avec des points d'intérêts déterminés" par ses clients, des enseignes de magasins. L’entreprise peut alors "afficher de la publicité ciblée sur les smartphones des personnes à partir des lieux qu'elles ont visités."
Le "consentement n'est pas recueilli comme la loi l'exige"
Si Teemo, comme Fidzup, assure traiter les données avec le consentement des utilisateurs, la Cnil considère au contraire "que le consentement n'est pas recueilli comme la loi l'exige." Les utilisateurs des apps partenaires ne sont en effet pas informés lors du téléchargement qu'un SDK "permettant de collecter leurs données, et notamment leurs données de localisation, y est intégré."
Si un consentement est bien recueilli, celui-ci ne porte que sur l'utilisation des données par l’application. "Elle ne saurait donc valoir consentement à la collecte des données à des fins publicitaires via les SDK" considère l’autorité de protection.
Il en va de même pour Fidzup dont le SDK et le traitement de données lui permettent "d'effectuer de la prospection publicitaire géolocalisée (https://www.fidzup.com/) sur les smartphones des personnes lors de leur passage à proximité d'un point de vente client de la société."
Fidzup écope donc également d’une mise en demeure pour manquement à l'obligation de recueil du consentement. Lors de l’installation des applis, "l'utilisateur n'est informé ni de la finalité de ciblage publicitaire du traitement mis en œuvre, ni de l'identité du responsable de ce traitement."
Pour en être informés, les utilisateurs doivent s’en remettre aux conditions générales d'utilisation des applications ou à des affiches en magasins, soit après la collecte et le traitement. Or le consentement suppose une information préalable, rappelle la Cnil.
Données conservées 13 mois: c'est trop
Dans le cas de Teemo, l’absence de consentement valide n’est pas le seul manquement cependant. L’entreprise conserve les données de géolocalisation pour une durée de 13 mois. Cette pratique "est contraire à l'obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement."
Deux manquements au total, c’est beaucoup, sinon trop, pour une société qui sur son site compte une rubrique dédiée au RGPD et affirme que le "respect de la vie privée des utilisateurs (https://teemo.co/fr/monetiser-appli-mobile/) et la confidentialité des données sont au cœur de la conception" de son produit.
Et si Teemo a manqué à son obligation de consentement, c’est peut-être car elle estime ne pas y être soumise. Le spécialiste de la publicité précise ainsi que "les données de géolocalisation et les identifiants publicitaires que nous collectons ne nous permettent pas de connaitre l'identité des utilisateurs."
A l’attention des éditeurs d’applications et partenaires potentiels, Teemo indique en effet que les données de géolocalisation collectées grâce à son SDK sont "non identifiantes". Elle a désormais trois mois pour se mettre en conformité.
La Cnil leur rappelle qu’il leur appartient "de recueillir le consentement des utilisateurs dans les conditions prévues par la loi, et de définir une durée de conservation adéquate, pour que leur activité soit pleinement conforme aux textes."
Olivier Magnan-Saurin, PDG et co-fondateur de Fidzup a réagi auprès de ZDNet à la mise en demeure de son entreprise:
"Nous travaillons sur l'évolution de notre méthode de récolte du consentement depuis le début de l'année 2017. La mise en demeure publiée ce jour date d'un contrôle effectué à l'été 2017, moment où ce travail n'était pas encore finalisé et où nous considérions intervenir en tant que sous-traitant de nos partenaires éditeurs. Nous proposions alors le pop-up en option et ne l’imposions pas à nos partenaires.
Depuis Fidzup a terminé le nouveau pop-up de récolte du consentement demandé par la CNIL et l'a prescrit à 100% de ses éditeurs partenaires. Nous allons donc notifier la CNIL en ce sens et sommes confiants sur une issue rapide et positive.
Par ailleurs cette mise en demeure fait suite à un contrôle plus global de nos activités, qui se trouvent donc validées dans leur ensemble sous réserve de cette demande de pop-up de la CNIL. Nous sommes ravis de cette clarification du régime juridique applicable, que nous sollicitions depuis longtemps."
A lire aussi: Le RGPD exige (enfin) un consentement éclairé (https://www.zdnet.fr/actualites/le-rgpd-exige-enfin-un-consentement-eclaire-39861032.htm)
Source: ZDNet.fr (https://www.zdnet.fr/actualites/teemo-et-fidzup-la-publicite-mobile-et-geolocalisee-epinglee-par-la-cnil-39871441.htm) par Christophe Auffray le 19 Juillet 2018. (https://lafibre.info/images/smileys/@GregLand/by.gif)