Plainte NOYB : Fnac et SeLoger accusés de collecte illégale de données personnelles

Plainte NOYB : Fnac et SeLoger accusés de collecte illégale de données personnelles

L'organisation autrichienne NOYB a déposé une plainte auprès de la CNIL contre les applications Fnac, SeLoger et MyFitnessPal, accusées de collecter et de partager les données personnelles de leurs utilisateurs sans leur consentement.

Les applications mobiles font partie intégrante de notre quotidien. En 2022, selon le baromètre du numérique, 87 % des Français de 12 ans et plus possèdent un smartphone. Cependant, malgré leur importance auprès de millions d'utilisateurs, elles ne prennent pas souvent la peine de se conformer aux lois européennes sur la protection de la vie privée, préférant partager leurs données privées avec des tiers. Nous en avons encore un exemple flagrant.

L'association autrichienne de protection des données NOYB– l'acronyme de None of your business, signifiant "Ce ne sont pas vos affaires", qui se présente comme le Centre européen pour les droits numériques – a déposé ce jeudi 14 septembre une plainte contre les applications Fnac (distribution de produits culturels et électroniques), SeLoger (diffusion d'annonces immobilières) et MyFitnessPal (compteur de calories) devant la Commission nationale de l'informatique et des libertés (CNIL), comme elle l'a annoncée dans un communiqué. Elle les accuse de collecter illégalement les données personnelles des utilisateurs et de les partager avec des tiers. Pire, les utilisateurs n'auraient même pas le choix de consentir ou d'empêcher le partage de leurs données, ce qui viole la réglementation sur la protection des données personnelles (RGPD). Un moyen d'établir leur profil afin de personnaliser les publicités, et donc d'accroître leurs recettes.

Plainte CNIL : des données personnelles recueillies sans consentement

Les membres de NOYB ont installé les trois applications sur un smartphone Android. Une fois ouvertes, ils ont remarqué qu'elles ont "immédiatement" commencé à collecter et à partager des données personnelles avec des tiers, en particulier l'identifiant publicitaire unique de Google (AdID), le modèle et la marque de l'appareil ainsi que l'adresse IP locale. "Une telle collecte de données permet d'établir le profil des utilisateurs afin de leur montrer des publications et des campagnes de marketing personnalisées", explique l'ONG, dans le but "d'augmenter les revenus des entreprises mentionnées". Elle rappelle ensuite que, en vertu de la loi, "le simple accès à des données ou leur stockage sur le terminal de l'utilisateur n'est autorisé que si ce dernier donne son consentement libre, éclairé, spécifique et sans ambiguïté". Or, deux des applications n'auraient affiché aucune bannière de consentement, tandis que la troisième en aurait présenté une, mais la transmission des données aurait commencé avant même que l'utilisateur n'ait pu effectuer une quelconque interaction.

NOYB a publié sa plainte déposée contre la Fnac. Selon elle, l'entreprise Batch, présentée comme fournisseur de services d'analytique et de profilage, permet à son client d'envoyer à ses utilisateurs des messages personnalisés, généralement à des fins de marketing. Or, selon la documentation de Batch destinée aux développeurs, le SDK de ce dernier "recueille par défaut l'AdID des utilisateurs et les données avancées de l'appareil". Et tant pis si ceux-ci n'ont pas accepté la collecte ni la transmission de leurs données.

Plainte NOYB : une situation loin d'être isolée

"Au vu de la gravité des allégations et du grand nombre de personnes potentiellement affectées", NOYB demande à la CNIL d'ordonner "la suppression de l'ensemble des données illégalement traitées" et d'infliger une amende aux trois entreprises. En tout cas, l'ONG ne compte pas s'arrêter là. "La façon dont ces applications traitent les données de leurs utilisateurs est symptomatique d'un problème plus large dans l'environnement des applications mobiles", analyse l'association. Selon une étude menée par des chercheurs d'Oxford, seules 3,5 % des applications offrent réellement aux utilisateurs la possibilité de refuser leur consentement. Le reste ne prend pas la peine de se conformer aux lois européennes sur la protection de la vie privée. C'est pourquoi "il est essentiel que les autorités de contrôle prennent maintenant des mesures appropriées pour mettre fin à cette pratique", affirme Ala Krinickytė, avocat spécialisé dans la protection des données chez noyb.

Cela tombe à pic, puisque la CNIL a lancé en juillet une consultation publique relative aux applications mobiles, notant que "l'utilisation de ces applications permet le traitement de grandes quantités de données personnelles qui n'existent pas ou peu sur les terminaux fixes (géolocalisation, accès à un carnet de contacts...)". Celle-ci se clôture le 8 octobre 2023. Vous pouvez y participer en répondant à ce formulaire.