Trois plaintes ont été déposées en France contre la Fnac, le site d’immobilier Seloger et MyFitnessPal, filiale d’Under Armour par Noyb. Noyb est l’organisation de Max Schrems, juriste autrichien pointilleux sur le respect du RGPD, qui a contraint l’Europe à revoir à plusieurs reprises les règles de transfert de données personnelles vers les Etats-Unis.
Collecte de l’identifiant publicitaire Google et de l’adresse IP
Selon Noyb, les applications mobiles de ces trois entreprises accèdent illégalement aux données personnelles des utilisateurs et les partagent avec des tiers à des fins d’analyse dès l’ouverture de l’application. Les données personnelles concernées sont l’identifiant publicitaire unique de Google (AdID), le modèle et la marque de l’appareil et l’adresse IP locale.
« Cette collecte de données permet d’établir le profil des utilisateurs afin de leur montrer des publicités et des campagnes de marketing personnalisées et d’augmenter les revenus des entreprises mentionnées » présente Noyb.Le reproche principal est que les utilisateurs n’ont pas le choix de consentir ou d’empêcher le partage de ces données. Cette approche est illégale insiste Noyb.
Absence de bannière de consentement
Selon le test mené par Noyb, deux des trois applications mobiles n’affichaient pas de bannière de consentement au lancement de l’application. La troisième application présentait une bannière qui donnait théoriquement le choix de donner ou pas son consentement. Mais selon Noyb, la transmission des données personnelles a commencé sans aucune interaction avec l’utilisateur, et avant même qu’il ait eu l’occasion de penser au consentement.
Noyb pointe que le simple accès à des données ou que leur stockage sur un terminal n’est autorisé que si l’utilisateur donne son consentement libre, éclairé, spécifique et sans ambiguïté en vertu de la directive « vie privée et communications électroniques ».
Dans la foulée, Noyb estime que le problème de collecte de données personnelles est général en ce qui concerne les applications mobiles. « Bien que ces applications comptent souvent des millions d’utilisateurs, elles ne prennent pas la peine de se conformer aux lois européennes sur la protection de la vie privée, mais partagent des données privées avec des tiers, y compris des courtiers en publicité afin de monétiser les données de leurs utilisateurs » estime Noyb.
Usage d’un outil de capture et d’analyse du trafic
Afin d’obtenir des preuves de ce qu’elle avance, l’organisation Noyb a procédé à une analyse technique du trafic réseau des applications pour smartphones. La capture et l’analyse du trafic réseau ont été effectuées à l’aide de la PiRogue Tool Suite développée par la Defensive Lab Agency. La méthodologie est détaillée ici.
