Il suffit d’une autorisation donnée à une entreprise de la publicité en ligne pour qu’aussitôt nos données personnelles soient transmises à tous les acteurs du marché, et traversent frontières et océans. Dataproof s’est penché sur le cas de l’application Météo-France, dans laquelle la publicité abonde, et qui alimente via sa régie plus de cinquante acteurs et Facebook!
Pour regarder la météo sur son smartphone, et tenter par exemple d’anticiper la canicule, il est tentant de se géolocaliser, et de laisser l’application trouver où l’on est. En attendant les prévisions, il faudra toutefois subir une première et agaçante conséquence, dont témoignent de nombreux commentaires : « Appli incontournable mais pub vraiment envahissante. »« Les publicités sonores type GIFI sont insupportables, d’autant que le son est extrêmement fort. ET surtout on ne peut pas les fermer immédiatement comme d’autres pub. »« Insupportable, on arrive toujours à charger la pub […], en revanche, souvent impossible de charger ensuite la page des prévisions, et si on relance, re-pub et toujours pas de météo…
Dans la boutique d’applications pour les téléphones Android, les critiques pleuvent sur la page de l’appli Météo-France.« Un établissement public n’est peut-être pas obligé de mettre une pub en grand écran avec 5 sec obligatoire à chaque démarrage de l’application », dit poliment un internaute.
Derrière ces publicités bien visibles, envahissantes, voire insupportables, se cache toute une industrie, celle du ciblage publicitaire individualisé, généralement en temps réel, réalisé grâce à la collecte de données personnelles. Un marché estimé à un milliard d’euros en France en 2018, sur mobiles et ordinateurs, et mollement surveillé par la Commission nationale de l’informatique et des libertés (Cnil) dans un plan d’action 2019-2020.
Dans ses toutes nouvelles « lignes directrices »,la Cnil rappelle aux acteurs de ce marché publicitaire que « les opérateurs doivent respecter le caractère préalable du consentement au dépôt de traceurs. Ils doivent laisser la possibilité d’accéder au service même en cas de refus de consentir. Ils doivent fournir un dispositif de retrait du consentement facile d’accès et d’usage ». Elle leur laisse encore un délai de plusieurs mois pour se mettre en conformité avec les règles du RGPD.
Embarqués dans les applications, les « traceurs », « pisteurs », ou encore « SDK » (software development kit) publicitaires sont aux applis mobiles ce que les cookies sont aux sites web : des machines à récupérer des données. À très, très grande échelle : « plus de 42 934 160 identifiants publicitaires et les données de géolocalisation correspondantes à partir de plus de 32 708 applications » ont par exemple été récupérés par la seule société française Vectaury.
La technique des enchères en temps réel permise par ces traceurs est dans le viseur de plusieurs associations européennes, dont en France la Quadrature, qui ont réuni leurs efforts pour déposer des plaintes dans neuf pays européens, et lancer la campagne « StopSpyingOnUs » (« arrêtez de nous espionner »).
Cette technique est précisément mise en œuvre pour afficher les publicités de l’application Météo-France, via la société parisienne Madvertise, chargée de la régie publicitaire de l’application (c’est-à-dire la vente des espaces), comme nous l’a confirmé Météo-France : « Notre régie publicitaire commercialise des emplacements publicitaires, avec deux typologies de ventes : des ventes directes en gré à gré ; des ventes programmatiques et aux enchères. » Par « programmatiques », il faut entendre automatisées.
Selon la plainte déposée par les associations francaise, « le secteur [des enchères publicitaires en temps réel – ndlr], qui au départ visait à aider les entreprises à produire des publicités personnalisées, a généré un mécanisme de transmission de masse de données personnelles ». « Deuxièmement », poursuit le texte de la plainte, « le mécanisme ne permet pas au secteur de contrôler la diffusion des données personnelles une fois qu’elles ont été transmises (voire même avant) ».
Par l’intermédiaire d’une régie, le système des enchères en temps réel permet à des applications mobiles de trouver des annonceurs qui souhaitent afficher des publicités. Pour ce faire, les applications font parvenir à des sociétés tierces, les « clients », des données de géolocalisation et l’identifiant publicitaire du téléphone : ce dernier va « matcher », ou pas, avec les identifiants et les profils associés dont dispose chaque « client », et qui vont s’enrichir de quelques nouvelles infos. Dans le cas qui nous occupe, ce sera par exemple que la personne est dans telle station balnéaire.
Le client pourra alors décider d’enchérir ou pas, suivant l’intérêt du profil identifié, et de faire parvenir une offre à la régie, afin que celle-ci achète l’espace et y diffuse la publicité.
Voilà pour le schéma général. Mais il y a un hic supplémentaire dans l’appli Météo-France : des données personnelles sont transmises sans que l’utilisateur en soit informé, et donc sans qu’il ait eu l’occasion d’y consentir ou de refuser, comme le prévoit le RGPD. Des informations qui sont notamment transmises à Facebook et Retency, une société française de mesure d’audience.
Pire encore, comme a pu le constater, des données sont transmises même quand l’utilisateur a manifesté son refus. Tout cela pour le revenu plutôt modeste de 1,2 million d’euros pour les six premiers mois de 2019.
La géolocalisation, une donnée « particulièrement intrusive »
Comme il est écrit en toutes lettres dans le Google Play Store, l’application Météo-France possède dès le départ de nombreuses autorisations : celle d’accéder aux photos, par exemple, d’en prendre, ainsi que des vidéos, de recueillir la géolocalisation (« même si [l’appli] n’est pas ouverte », précise de son côté l’Appstore d’Apple) … ou encore d’empêcher l’écran de s’éteindre si vous êtes devenu inattentif.
Pour quoi faire : obtenir directement la météo du lieu où l’on se trouve, poster des photos géolocalisées… C’est le côté pratique pour l’utilisateur. Mais aussi, et c’est là que les choses deviennent problématiques, pour alimenter en données la régie publicitaire qui pourra alors adresser aux personnes derrière l’écran des publicités ciblées en fonction de leur profil.
Selon la politique de confidentialité de Météo-France, « l’application stocke dans le téléphone des informations relatives à la navigation et aux préférences du mobinaute, celles-ci ne permettent toutefois pas d’identifier l’usager. Nous mémorisons actuellement les villes favorites ainsi que les préférences (présence, position) des blocs associés et des widgets, les points gagnés dans la rubrique “observation participative” ainsi que les autorisations (géolocalisation y compris pour la publicité ciblée, accès à l’appareil photo, usage des mesures d’audience et d’analyses de bugs, notifications) ».
Météo-France le précise bien : « Les informations recueillies […] après consentement de l’utilisateur » serviront à fournir des « prévisions météorologiques au plus proche de votre position », à la « mesure d’audience », à « améliorer et fiabiliser le comportement de l’application », à « vous proposer des publicités ciblées adaptées à vos centres d’intérêts » et enfin à « accéder à des réseaux sociaux lors de partages ».
« Les destinataires des données sont Météo-France et son prestataire Madvertise en charge de la publicité, AT Internet et Google pour les mesures d’audience, Google/Crashlytics pour les analyses de bugs. »
Comment lier ces données à un appareil, et aux habitudes de son propriétaire ? C’est le rôle de l’identifiant publicitaire que possède chaque smartphone, et qui peut être réinitialisé à volonté dans les réglages de l’appareil : le changement d’identifiant va mettre par terre tout l’édifice de recueil de données et le faire repartir de zéro… Mais comme Dataproof l’a découvert, Météo-France recueille également, et transmet, deux données particulières que le « mobinaute » ne peut modifier : l’Android ID et l’adresse MAC. Pire encore, ces données sont transmises à l’insu de l’utilisateur.
La géolocalisation, c’est-à-dire l’endroit où l’on se trouve, est aussi une donnée particulièrement sensible. Avec un smartphone toujours en poche, et une géolocalisation activée, se dessinent nos allées et venues 24 heures sur 24, en temps réel qui plus est. Pour la Cnil, « l’utilisation des dispositifs de géolocalisation est particulièrement intrusive au regard des libertés individuelles, dans la mesure où ils permettent de suivre de manière permanente et en temps réel des personnes, aussi bien dans l’espace public que dans des lieux privés. Ainsi, la CNIL estime que les données de géolocalisation ne peuvent être conservées que pour une durée strictement proportionnée à la finalité du traitement qui a justifié cette géolocalisation ».
Présenté le 27 juin 2019 devant la FTC (Federal Trade Commission), le gendarme américain du commerce, un article intitulé 50 Ways to Leak Your Data: An Exploration of Apps Circumvention of the Android Permissions System (50 façons d’aspirer vos données : une exploration du contournement des autorisations Android par les applications) a révélé les méthodes au moyen desquelles les applications contournent les refus de partage de données des utilisateurs. Ces résultats ont été obtenus par l’équipe d’AppCensus, qui travaille pour différents régulateurs et entreprises privées et examine la face cachée des applications. Les applications concernées seront présentées le 15 août.
Test de l’application Météo-France.
Dans trois configurations différentes : « Tout accepter », « Je valide mes choix » (avec le choix de tout désactiver) et enfin « Tout refuser ». Pendant 10 minutes chaque fois, le test a consisté à surveiller la transmission de quatre informations sensibles : l’identifiant publicitaire du téléphone ; l’identifiant Android ou Android ID ; la géolocalisation ; et l’adresse MAC du téléphone – à laquelle « on ne devrait plus pouvoir accéder du tout ». Le tableau ci-dessous récapitule les données transmises avec la troisième option, « Je refuse tout ».
Dans tous les cas, la géolocalisation est de qualité GPS, avec 3 décimales de précision. Pour la recueillir, une appli va aller au plus facile : les coordonnées GPS. En cas d’échec, le « SDK » ira la chercher auprès des bornes téléphoniques à proximité, ou encore des bornes wifi, détectées par le téléphone.
Dataproof s’est également tourné vers Exodus Privacy, une association française pionnière dans la recherche des « pisteurs », selon son expression, installés dans les applis, et qui en a détecté 18 dans celle de Météo-France : celui de la société Madvertise, mais aussi de Google et Facebook, ou encore un SDK venu de Twitter et un autre de la société française Vectaury, elle aussi active dans les enchères en temps réel et mise en demeure en 2018, par la Cnil, de se conformer à la législation.
« Tous ne sont pas forcément actifs, ça peut être un reliquat de pisteurs utilisés avant, et il peut aussi y en avoir plus », explique un des membres d’Exodus Privacy. Certaines applications, au démarrage, vont demander à un serveur « quel pisteur utiliser aujourd’hui », pour activer ou désactiver les pisteurs en fonction des campagnes publicitaires.
Les données collectées par Météo- France
Météo-France collecte pour son compte les informations de géolocalisation – mais la transmission n’est pas cryptée, selon les résultats obtenus lors du test. Voilà ce qui en advient. Les fichiers contenant des informations de géolocalisation sont conservés 2 jours. Les informations ne sont accessibles qu’à des personnes identifiées et uniquement à des fins de diagnostic de problèmes ; au-delà de ces 2 jours, les informations sont agrégées et anonymisées. Elles ne contiennent donc plus de données personnelles ; concernant l’observation participative, laquelle a fait l’objet de deux déclarations auprès de la CNIL (en 2017 et 2018), nous recueillons des informations de géolocalisation, dégradées à une précision de 500 m. Ces informations sont conservées 5 ans à des fins de retour sur situation météorologique ancienne. »
Les données collectées par Madvertise
La régie publicitaire de Météo-France – « sélectionnée à l’issue d’une procédure d’appel d’offres » – collecte l’identifiant publicitaire du téléphone et les données de géolocalisation. Le prestataire affirme dans sa politique de confidentialité qu’il collecte des « données indirectement identifiantes » qui « sont pseudonymisées par des clefs de cryptographie (chiffrement) quelques secondes après leur collecte ». La Cnil précise n’avoir « reçu aucune plainte concernant Météo-France et la société Madvertise ».
