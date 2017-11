Révélée en début de semaine, l'affaire Wiko pose des questions importantes au sujet de la collecte et de l'envoi de données depuis un smartphone. Que dit la loi en la matière ?

L’affaire a éclaté en début de semaine. En manipulant un smartphone de la marque Wiko, un utilisateur a découvert la présence d’une application système nommée STS qui, tous les mois, déclenche une alarme incluse dans le système et envoie en Chine, de manière chiffrée, divers éléments vers un serveur hébergé par Tinno, le partenaire industriel de la société française.

Et cela, sans aucun consentement préalable.

Wiko a confirmé l’existence de l’application et son fonctionnement, qui vise à « établir des statistiques de ventes et de durée de vie des produits ». Pour autant, il ne faudrait pas s’alarmer. D’après l’entreprise française, ce sont « des données d’ordre technique » (on parle de numéro IMEI, de numéro de client, de localisation des tours GSM à portée, de nom du modèle, de numéro de série et de version de l’OS).

Cette affaire, résumée ici à grands traits, a suscité un émoi d’autant plus grand chez la clientèle de Wiko que ces transferts se font hors de sa vue et impliquent un pays qui n’a pas une législation adéquate en matière de protection des données personnelles. Cela étant, c’est bonne occasion de rappeler les règles générales actuelles en matière de collecte et d’envoi de données depuis un terminal.

Quelles données ? La nature des données transférées

Selon les constations de la personne qui a découvert ces transferts fort discrets, les données incluent le numéro IMEI, le numéro de client, la localisation des tours GSM à portée, le nom du modèle, le numéro de série, la version de l’OS.

Wiko a aussi indiqué que cette collecte se déroule sur n’importe quel réseau disponible pouvant faire transiter ces données et fait savoir que l’application peut accéder au mail au numéro de téléphone du client, via les autorisations, mais qu’aucune récolte ne serait réalisée pour « des raisons de confidentialité de l’information ». Quant à la géolocalisation, elle n’aurait jamais été mise en œuvre.

L’un des enjeux de cette affaire est de qualifier la nature des données qui sont transmises en Chine. Wiko les présente comme des « données d’ordre technique ». C’est loin d’être anodin. Le consentement préalable n’est pas toujours requis si la finalité de la collecte est purement technique, par exemple dans le cas où un système a planté et qu’il est procédé au recueil des informations dudit système.

Il ne nous appartient pas de dire si cette exemption s’applique effectivement au cas d’espèce, d’autant que certaines données — IMEI, numéro de client, localisation des tours GSM à portée — pourraient peut-être servir à identifier un individu, surtout en les croisant. Rappelons que toute information qui permet d’identifier directement ou indirectement une personne est une donnée personnelle.

Le consentement Le consentement de l’utilisateur

En matière de consentement tout d’abord :

Celui-ci est requis si des données sensibles sont en cause (comme des informations personnelles, donc), si une réutilisation « à d’autres fins » est prévue ou si elles vont être utilisées « à des fins de prospection commerciale ». C’est aussi le cas si les informations collectées sur le terminal le sont à des fins de mesure publicitaire ou de mesure d’audience.

Ce consentement doit être obtenu préalablement à toute collecte, une fois qu’une information claire et précise sur les tenants et les aboutissants de cette collecte a été apportée. Le consentement doit aussi être spécifique par finalité envisagée. Ça ne peut pas être un feu vert global. Il faut également qu’il soit libre et que l’utilisateur puisse exercer ses droits d’opposition, de rectification et d’accès.

Le transfert Le transfert des données à l’étranger

Concernant le transfert de données à l’étranger, ensuite :

Il y a des formalités à accomplir auprès de la Cnil s’il est prévu d’envoyer des données personnelles hors de l’Union européenne. Or, puisque le statut des informations collectées par Wiko serait d’ordre technique, cela les exclurait du champ d’application de ces dispositions. Dans le cas contraire, puisqu’il s’agit de la Chine, il faudrait conclure des clauses contractuelles types.

Ces clauses, pointe la Cnil, « permettent d’encadrer les transferts de données personnelles […] vers des destinataires situés hors de l’Union européenne. Elles ont pour but de faciliter la tâche des responsables de traitement dans la mise en œuvre de contrats de transfert ». Elles servent notamment les cas où le pays ou le destinataire n’assure un niveau de protection suffisant. Comme en Chine.

Et en 2018 ? Ce qui devrait changer en 2018

Il faut toutefois rappeler que le paysage juridique en matière de collecte et d’envoi de données depuis un terminal va connaître un chambardement important dans l’Union européenne avec l’entrée en vigueur, en 2018, du règlement général sur la protection des données mais aussi du règlement ePrivacy. Or, à supposer sur la nature des données en jeu soit plus complexe que ce que dit Wiko, plusieurs points sont à noter.

Le RGPD prévoit par exemple dans son article 35 la conduite d’une analyse d’impact sur la protection des données, lorsqu ‘un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, notamment s’il est question d’un suivi régulier, systématique, à grande échelle de données personnelles. Cette analyse est obligatoire dans un certain nombre de cas.

En ce qui concerne ePrivacy, un projet de règlement qui porte davantage sur les outils statistiques que les transferts à proprement parler, il faut aussi s’attendre à des changements puisque le texte, qui est aujourd’hui en discussion, est susceptible de peser sur la collecte des statistiques et des mesures d’audience, ce que Wiko dit faire avec son application STS.