L’affaire a éclaté en début de semaine. En manipulant un smartphone de la marque Wiko, un utilisateur a découvert la présence d’une application système nommée STS qui, tous les mois, déclenche une alarme incluse dans le système et envoie en Chine, de manière chiffrée, divers éléments vers un serveur hébergé par Tinno, le partenaire industriel de la société française.
Et cela, sans aucun consentement préalable.
Wiko a confirmé l’existence de l’application et son fonctionnement, qui vise à « établir des statistiques de ventes et de durée de vie des produits ». Pour autant, il ne faudrait pas s’alarmer. D’après l’entreprise française, ce sont « des données d’ordre technique » (on parle de numéro IMEI, de numéro de client, de localisation des tours GSM à portée, de nom du modèle, de numéro de série et de version de l’OS).
Cette affaire, résumée ici à grands traits, a suscité un émoi d’autant plus grand chez la clientèle de Wiko que ces transferts se font hors de sa vue et impliquent un pays qui n’a pas une législation adéquate en matière de protection des données personnelles. Cela étant, c’est bonne occasion de rappeler les règles générales actuelles en matière de collecte et d’envoi de données depuis un terminal.
La nature des données transférées
Selon les constations de la personne qui a découvert ces transferts fort discrets, les données incluent le numéro IMEI, le numéro de client, la localisation des tours GSM à portée, le nom du modèle, le numéro de série, la version de l’OS.
Wiko a aussi indiqué que cette collecte se déroule sur n’importe quel réseau disponible pouvant faire transiter ces données et fait savoir que l’application peut accéder au mail au numéro de téléphone du client, via les autorisations, mais qu’aucune récolte ne serait réalisée pour « des raisons de confidentialité de l’information ». Quant à la géolocalisation, elle n’aurait jamais été mise en œuvre.
L’un des enjeux de cette affaire est de qualifier la nature des données qui sont transmises en Chine. Wiko les présente comme des « données d’ordre technique ». C’est loin d’être anodin. Le consentement préalable n’est pas toujours requis si la finalité de la collecte est purement technique, par exemple dans le cas où un système a planté et qu’il est procédé au recueil des informations dudit système.
Il ne nous appartient pas de dire si cette exemption s’applique effectivement au cas d’espèce, d’autant que certaines données — IMEI, numéro de client, localisation des tours GSM à portée — pourraient peut-être servir à identifier un individu, surtout en les croisant. Rappelons que toute information qui permet d’identifier directement ou indirectement une personne est une donnée personnelle.
Le consentement de l’utilisateur
En matière de consentement tout d’abord :
Celui-ci est requis si des données sensibles sont en cause (comme des informations personnelles, donc), si une réutilisation « à d’autres fins » est prévue ou si elles vont être utilisées « à des fins de prospection commerciale ». C’est aussi le cas si les informations collectées sur le terminal le sont à des fins de mesure publicitaire ou de mesure d’audience.
Ce consentement doit être obtenu préalablement à toute collecte, une fois qu’une information claire et précise sur les tenants et les aboutissants de cette collecte a été apportée. Le consentement doit aussi être spécifique par finalité envisagée. Ça ne peut pas être un feu vert global. Il faut également qu’il soit libre et que l’utilisateur puisse exercer ses droits d’opposition, de rectification et d’accès.
Le transfert des données à l’étranger
Concernant le transfert de données à l’étranger, ensuite :
Il y a des formalités à accomplir auprès de la Cnil s’il est prévu d’envoyer des données personnelles hors de l’Union européenne. Or, puisque le statut des informations collectées par Wiko serait d’ordre technique, cela les exclurait du champ d’application de ces dispositions. Dans le cas contraire, puisqu’il s’agit de la Chine, il faudrait conclure des clauses contractuelles types.
Ces clauses, pointe la Cnil, « permettent d’encadrer les transferts de données personnelles […] vers des destinataires situés hors de l’Union européenne. Elles ont pour but de faciliter la tâche des responsables de traitement dans la mise en œuvre de contrats de transfert ». Elles servent notamment les cas où le pays ou le destinataire n’assure un niveau de protection suffisant. Comme en Chine.
Ce qui devrait changer en 2018
Il faut toutefois rappeler que le paysage juridique en matière de collecte et d’envoi de données depuis un terminal va connaître un chambardement important dans l’Union européenne avec l’entrée en vigueur, en 2018, du règlement général sur la protection des données mais aussi du règlement ePrivacy. Or, à supposer sur la nature des données en jeu soit plus complexe que ce que dit Wiko, plusieurs points sont à noter.
Le RGPD prévoit par exemple dans son article 35 la conduite d’une analyse d’impact sur la protection des données, lorsqu ‘un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, notamment s’il est question d’un suivi régulier, systématique, à grande échelle de données personnelles. Cette analyse est obligatoire dans un certain nombre de cas.
En ce qui concerne ePrivacy, un projet de règlement qui porte davantage sur les outils statistiques que les transferts à proprement parler, il faut aussi s’attendre à des changements puisque le texte, qui est aujourd’hui en discussion, est susceptible de peser sur la collecte des statistiques et des mesures d’audience, ce que Wiko dit faire avec son application STS.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.