La CNIL a officiellement mis en demeure les applications de tracking publicitaire Teemo et Fidzup. La première était au cœur d’une enquête de Numerama en août 2017.

Mise à jour : ajout de la déclaration de Fidzup.

En août 2017, Numerama révélait comment un SDK publicitaire installé dans les applications les plus populaires en France permettait de traquer les utilisateurs sans qu’ils en soient informés. L’affaire Teemo avait projeté ces pratiques sous les projecteurs et participé à la création d’Exodus Privacy. Aujourd’hui, l’entreprise étudiée dans notre article est officiellement mise en demeure par la CNIL, aux côtés de Fidzup, une autre entreprise aux pratiques similaires que nous avions également évoquée.

« S’agissant de la société TEEMO, ce « SDK » permet de collecter l’identifiant publicitaire des smartphones et les données de géolocalisation des personnes, environ toutes les cinq minutes. Ces données sont ensuite croisées avec des points d’intérêts déterminés par les partenaires (enseignes de magasins). Ils permettent d’afficher de la publicité ciblée sur les smartphones des personnes à partir des lieux qu’elles ont visités. », précise la CNIL dans un communiqué.

La société FIDZUP, quant à elle, installe un « SDK » au sein d’applications mobiles partenaires qui collectent les identifiants publicitaires mobiles et l’adresse MAC du smartphone. En parallèle, la société installe dans les points de vente partenaires des dispositifs « FIDBOX » permettant de collecter des données relatives à l’adresse MAC et à la puissance du signal WIFI des smartphones. Les données ainsi collectées sont croisées et leur traitement permet à la société d’effectuer de la prospection publicitaire géolocalisée sur les smartphones des personnes lors de leur passage à proximité d’un point de vente client de la société FIDZUP. ».

Comment Teemo récupère les données des utilisateurs des applis des grands médias. // Source :  Chloé Batiot, Numerama

Comment Teemo récupère les données des utilisateurs des applis des grands médias.

Source : Chloé Batiot, Numerama

Mise en demeure

Pourquoi ces deux sociétés sont-elles mises en demeure ? Deux points ont été retenus par la CNIL — points qui étaient déjà évoqués dans notre article.

  • Manquement à l’obligation de recueil du consentement : cela signifie que les utilisateurs d’applications utilisant Teemo ou Fidzup ne sont pas conscients de l’usage de leurs données personnelles à des fins publicitaires. De plus, en tant que « kit de développement », Teemo et Fidzup sont installés par défaut dans les applications et l’utilisateur n’a aucun moyen de les refuser. Enfin, la CNIL a remarqué que ces SDK utilisaient les données de géolocalisation même quand l’application n’est pas utilisée
  • Manquement à l’obligation de définition d’une durée de conservation : cela signifie que Teemo (Fidzup n’est pas concerné) conserve les données des utilisateurs 13 mois sans justification.

Teemo et Fidzup ont trois mois pour rentrer dans les clous et se conformer aux lois. Au terme de ce délai, la CNIL pourra alors appeler à une sanction si les deux entreprises ne sont pas en règle.

Fidzup a déjà pris les devants en annonçant que cette mise en demeure était fondée sur une étude datant de l’été 2017 (sic). Dans un droit de réponse adressé à Numerama, le fondateur de l’entreprise, M. Magnan-Saurin, explique : « Nous travaillons sur l’évolution de notre méthode de récolte du consentement depuis le début de l’année 2017. La mise en demeure publiée ce jour date d’un contrôle effectué à l’été 2017, moment où ce travail n’était pas encore finalisé et où nous considérions intervenir en tant que sous-traitant de nos partenaires éditeurs. Nous proposions alors le pop-up en option et ne l’imposions pas à nos partenaires. 

Depuis Fidzup a terminé le nouveau pop-up de récolte du consentement demandé par la CNIL et l’a prescrit à 100% de ses éditeurs partenaires. Nous allons donc notifier la CNIL en ce sens et sommes confiants sur une issue rapide et positive. Par ailleurs cette mise en demeure fait suite à un contrôle plus global de nos activités, qui se trouvent donc validées dans leur ensemble sous réserve de cette demande de pop-up de la CNIL. Nous sommes ravis de cette clarification du régime juridique applicable, que nous sollicitions depuis longtemps. »

Aucune réaction de Teemo à l’heure où ces lignes sont écrites.


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !