La CNIL s’attaque encore à la publicité mobile, cette fois avec Vectaury
Des enchères peu discrètes
Le 09 novembre 2018 à 15h06
8 min
Internet
Internet
La Commission nationale Informatique et libertés (CNIL) enchaine les décisions publiques contre des sociétés espionnant les déplacements des smartphones. Cette fois, elle épingle Vectaury, dont la référence apparait dans les applications de Closer, Météo France ou encore Skyrock.
Vectaury est sur le grill. La CNIL lui offre une large publicité, via une mise en demeure d'obtenir le consentement des internautes à la collecte et au traitement de leurs données. Intégrée à des applications mobiles (via un SDK), l'entreprise récupère l'identifiant publicitaire du téléphone et les données de géolocalisation, sous Android et iOS.
« L’objectif de la société Vectaury est d’établir le profil des mobinautes à partir de leurs habitudes de déplacements afin de leur proposer de la publicité ciblée » résume la CNIL, dans sa décision du 30 octobre. Elle traque les déplacements dans des points d'intérêt, comme des magasins physiques, pour déterminer son profil et fournir des statistiques aux boutiques. Elle leur fournit aussi des publicités vers ces utilisateurs, via des espaces aux enchères chez des tiers.
Problème : les applications intégrant Vectaury ne demandent pas d'autorisation spécifique pour ce pistage commercial. Si vous autorisez l'accès à la géolocalisation à une application qui l'embarque, le SDK peut vous mettre le fil à la patte en toute quiétude, comme l'a constaté la CNIL.
Par ce biais, elle a collecté plus de cinq millions d'identifiants de smartphones. Surtout, elle en a récupéré 42 millions supplémentaires en participant à des enchères, sans que les utilisateurs ne le sachent.
Un consentement difficile à exprimer
L'enquête a été décidée le 30 mars 2018, donnant lieu à un contrôle sur place les 19 et 20 avril. La société de 56 salariés revendique un chiffre d'affaires de 3,2 millions d'euros l'an dernier. Dans son contrat, elle impose bien à ses partenaires qu'ils recueillent explicitement le consentement de leurs utilisateurs.
Elle fonde donc ses traitements sur ce consentement... Sans concrètement l'obtenir dans la plupart des cas, des applications ne présentant aucun réglage spécifique à Vectaury. C'est le principal reproche fait à Vectaury.
Depuis le 1er juin, Vectaury a tout de même fourni à la CNIL des éléments supplémentaires sur le recueil du consentement, au moins demandé dans les conditions d'utilisation des applications. Elle a surtout conçu une plateforme de gestion du consentement (Consent Management Provider, ou CMP), avec l'Interactive Advertising Bureau (IAB). Elle y associe une méthode pour obtenir l'accord des utilisateurs, qui laisse lui aussi à désirer.
Un système de recueil qui pré-coche les collectes
Un texte général est présenté au lancement de l'application, avec un lien vers la politique de confidentialité. Il est ensuite confronté à un choix triple (« J'accepte », « Je refuse » ou « J'affine mes préférences »). S'il choisit la troisième voie, le service lui présente une liste des finalités à décocher. Il peut aussi choisir les partenaires auxquels communiquer ses données, aussi à décocher. Une opération qui peut s'avérer fastidieuse.
Ce fonctionnement contrevient à l'article 2 de la directive de 1995 sur la protection des données personnelles, qui définissait le consentement libre avant le Règlement général sur la protection des données, appliqué depuis le 25 mai.
Dans le détail, le texte général affiché au lancement « peut laisser croire à l’utilisateur que son refus que ses données soient collectées et traitées entraînera soit un modèle économique payant, soit une impossibilité d’utiliser l’application ». En outre, les définitions des finalités de Vectaury sont rédigées dans un langage opaque.
Autrement dit, même si les applications intègrent un jour sa CMP, « les personnes ne sont pas dûment informées de la collecte de leurs données de géolocalisation par la société Vectaury, via l’installation d’un SDK, à des fins de publicité ciblée ». Et boum.
Aussi, le pré-cochage des finalités et des partenaires empêche l'utilisateur d'exprimer un consentement positif aux collectes, ce qu'exige pourtant la loi. Troisième carton rouge pour l'entreprise.
Notons que le système est très proche de celui de Quantcast, présenté par de nombreux sites web à la première visite.
Plus de 42 millions d'identifiants récupérés via des enchères publicitaires
Fin avril, la CNIL a constaté que la société conservait en masse des informations d'internautes dans une base de données commune, utilisée pour tous ses clients. 5,1 millions d'identifiants publicitaires ont été siphonnés depuis son SDK. Mais ce n'est que la minuscule partie émergée de l'iceberg.
En plus des données récupérées via le kit, elle a aussi aspiré une montagne d'identifiants à partir de 144 offres d'enchères publicitaires en temps réel auxquelles elle a participé (par des bid requests), pour placer les réclames de ses clients. Plus de 42,9 millions d'identifiants ont été obtenus par ce biais, dont 24,7 millions par des enchères auxquelles elle a répondu. Ces données proviennent de 32 000 applications.
Vectaury les aspire pour les analyser presque instantanément, dans le but de décider s'il peut enchérir ou non. Elles sont ensuite conservées et utilisées pour les autres activités de l'entreprise : vérifier le taux de conversion des campagnes publicitaires, cibler des prospects ou améliorer le profil d'une personne en particulier.
Or, les mobinautes dont les données ont été obtenues via les enchères publicitaires n'ont pas consenti aux autres traitements.
Malgré ses contrats, qui imposent aux organisateurs d'enchères de collecter le consentement des internautes à l'usage publicitaire de leurs données, il n'en est rien dans les faits. « Vectaury n’est aujourd'hui pas en mesure de démontrer que les données collectées par le biais des offres d’enchères en temps réel font, actuellement, systématiquement l’objet d’un consentement informé, libre, spécifique et activement manifesté. »
Rappelons que ces enchères publicitaires, automatisées, sont de plus en plus attaquées. La société derrière le navigateur Brave s'en prend ainsi à Google devant les CNIL britannique et irlandaise pour cette pratique.
Intégré dans 19 applications
Selon la commission, 19 applications de cinq partenaires intègrent les outils de Vectaury.
L'institution ne fournit aucun nom d'application. Il faut s'en remettre aux analyses d'Exodus Privacy, dont le système en trouve des traces dans celles d'Auto Plus, Closer, Météo France, Nostalgie Radio, NRJ Radio, Rire & Chansons, Skyrock, Télé Star, Vie De Merde, ainsi qu'une dédiée au scan de codes-barres et QR Code.
La ressemblance entre cette décision et celle prise à l'encontre de Singlespot, fin octobre, est frappante. Elle géolocalise les smartphones à l'insu des utilisateurs, pour suivre leurs déplacements en magasins. Fin octobre, elle a été mise en demeure de régler de nombreux problèmes : consentement du mobinaute, sécurité des données, séparation des bases de production et de développement... Le catalogue des manquements donnait le tourni.
Une base de données à expurger
La CNIL met donc l'entreprise en demeure de recueillir concrètement l'accord des internautes à la collecte et au traitement de leurs données personnelles. Elle doit aussi purger sa base de données des informations obtenues sans consentement. Enfin, elle doit prouver sa mise en conformité à la commission.
Elle semble lancée contre les sociétés géolocalisant les smartphones à leur insu. Début octobre, elle a obtenu de Teemo, qui avait fait scandale en août 2017, de rentrer dans le rang. Depuis, elle a mis Singlespot au pilori, sur la place publique.
Contrairement à sa décision précédente, l'une des premières fondées sur le RGPD, celle-ci semble basée sur le droit précédant le règlement européen, qui a rehaussé les sanctions possibles à 4 % du chiffre d'affaires mondial ou 20 millions d'euros (le plus grand étant choisi). Précédemment, la sanction maximale était de trois millions d'euros. Elle pourrait donc s'appliquer ici, dans le pire des cas.
Dans un communiqué, la société assure que les demandes de l'institution sont sur sa feuille de route, « qui présente un processus documenté et structuré de recueil du consentement avec le lancement de sa fonctionnalité d’Opt’In (janvier 2018) et sa Consent Management Platform (juillet 2018) ». « Aucune action visant la durée de conservation, la sécurisation et la minimisation des données n'a été demandée », rappelle-t-elle.
La CNIL s’attaque encore à la publicité mobile, cette fois avec Vectaury
-
Un consentement difficile à exprimer
-
Un système de recueil qui pré-coche les collectes
-
Plus de 42 millions d'identifiants récupérés via des enchères publicitaires
-
Intégré dans 19 applications
-
Une base de données à expurger
Commentaires (12)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 09/11/2018 à 17h37
On est dans la droite ligne des décisions précédentes sur le même sujet.
En revanche, je m’étonne toujours que les responsables des applications finales (celles utilisant le SDK) soient laissés tranquilles, car si le module de vectaury destiné à recueillir le consentement est manifestement merdique, l’obligation pèse tout autant sur les responsables des applies finales qui sont à mon avis coresponsables du traitement et donc déconnent pas moins que vectaury.
« peut laisser croire à l’utilisateur que son refus que ses données soient collectées et traitées entraînera soit un modèle économique payant, soit une impossibilité d’utiliser l’application »
Autant je comprends la dernière partie, en revanche, je comprends moins bien la formulation de la première. C’est le fait de laisser entendre que cela sera payant alors que c’est pas le cas qui est problématique, pas le fait d’effectivement passer par un modèle payant ?
Le 09/11/2018 à 18h27
Le 09/11/2018 à 22h30
“l’entreprise récupère l’identifiant publicitaire du téléphone et”
Les téléphones sont équipés d’identifiants publicitaires ?
Le 09/11/2018 à 23h45
Le titre de cet article est assez étrange. C’est plutôt le secteur publicitaire qui s’attque une fois de plus à nos vies privées.
Le 09/11/2018 à 23h50
Oui, et tu peux y avoir accès dans les paramètres Google sous Android 8 en tout cas. J’y ai désactivé la personalisation des pub et je réinitialise régulièrement l’identifiant.
Le 10/11/2018 à 00h25
prenez l exemple de l appli LG pour les thèmes sur Android qui vous renvoi sur la page web vous demandant d’accepter TOUTES les conditions de captation de données sinon vous n’avez pas la possibilité d’accéder au contenu…
Le 10/11/2018 à 06h41
Au moins la CNIL semble avoir une possibilité d’action dans cette histoire.
En espérant qu’ils puissent faire avancer les choses.
Le 10/11/2018 à 07h29
Le 10/11/2018 à 12h48
Réinitialiser l’identifiant= casser le traçage et réduire la pertinence des données collectée.
Le 10/11/2018 à 17h47
La réinitialisation de l’identifiant publicitaire (advertising id sous Android, idfa sous iOS) est bien souvent contourné par les trackers publicitaires de la façon suivante. La première fois qu’un tracker est lancé sur un mobile (lors du premier lancement d’une application qui le contient), ce tracker va générer un identifiant unique (impossible à modifier sans faire un reset d’usine) stocker sur le mobile. Ensuite, le tracker va envoyer systématiquement au serveur auquel il est associé : l’identifiant publicitaire + l’identifiant généré.
Ainsi, Facebook par exemple, connaît la liste de tous les identifiants publicitaires d’un mobile ainsi que les dates auxquelles l’identifiant publicitaire a été changé.
Le 10/11/2018 à 21h50
Le 12/11/2018 à 22h06
Flasher une ROM AOSP, pas à la portée de tous mais efficace " />