Collecte de données de géolocalisation mobile : la Cnil mène l’enquête au regard du RGPD

Le 13 juin 2022, la Commission nationale de l’informatique et des libertés (Cnil) a annoncé avoir confié à son laboratoire Linc une étude sur les données de géolocalisation collectées par des applications mobiles, la revente de données et les data brokers. Elle vérifiera la conformité avec le RGPD.

« Si cette étude n’est pas liée à une procédure de contrôle ou de sanction, elle s’inscrit néanmoins dans l’une des thématiques prioritaires de contrôles puisqu’en 2022 la Cnil vérifiera la conformité au RGPD des professionnels du secteur [en l’occurrence de la prospection commercial, dont la publicité en ligne, ndlr], en particulier de ceux qui procèdent à la revente de données, y compris, des nombreux intermédiaires de cet écosystème (aussi appelés data brokers) », précise le gendarme français des données et des fichiers informatiques.

Données anonymisées ou authentiques
Cela fait partie de ses priorités pour l’année en cours, dans le cadre sa mission de contrôle du respect du règlement général sur la protection des données (RGPD), lequel fut adopté en 2016 par le Parlement européen (1) et en vigueur depuis mai 2018 dans les Vingt-sept. Cette enquête est confiée au Laboratoire d’innovation numérique (Linc), dirigé depuis plus d’un an par Vincent Toubiana (photo). Cette mission s’achèvera dans quinze mois – en septembre 2023 – et « ce projet donnera lieu à plusieurs publications sur le site web du Linc » (2). Si la Cnil n’envisage pas – pour l’instant ? – d’actions répressives à l’encontre des exploitants de données, anonymisées et/ou personnelles, qui enfreindraient le RGPD et la protection de la vie privée des internautes, elle prévoit de « sensibiliser le public et les professionnels sur les enjeux liés à la collecte de données de géolocalisation par les applications mobiles ».
Pour étudier les pratiques aux finalités publicitaires et marketing, le Linc est en train d’analyser « un échantillon de données correspondant à la France » que la Cnil s’est procuré auprès d’un data broker de la place en se faisant passer pour un client potentiel lambda. Elle a pu ainsi obtenir du courtier de données « un jeu de données de géolocalisation » concernant des personnes. La Cnil précise que le jeu de données concerné est un fichier comportant des données de géolocalisation horodatées avec des points de localisation associés à près de 5 millions d’identifiants publicitaires de smartphones (Android et iOS) sur une période d’environ une semaine en 2021. « Les données transmises, précise le régulateur des données personnelles, sont présentées comme anonymisées par le revendeur de données. Après une rapide analyse, la Cnil considère qu’au moins une partie de ces données est authentique. Elle vérifiera si, sur la base de ce jeu de données, elle est en capacité de réidentifier les personnes et, dans l’affirmative, elle informera individuellement celles-ci ».
Dans l’éventualité où des personnes seraient réidentifiées, assure donc l’autorité indépendante de la place de Fontenoy, le traitement de leurs données sera suspendu jusqu’à ce qu’elles soient individuellement informées. « Si vous souhaitez plus d’informations sur ce traitement ou si vous souhaitez exercer vos droits, vous pouvez contacter ip@cnil.fr ou adresser un courrier à la Cnil à l’attention du service Linc », indique-t-elle. Des mesures particulières ont même été prises pour assurer la confidentialité de ces données auxquelles ne pourront accéder que l’équipe du Linc. Dans le jeu de données fourni, apparaissent des identifiants publicitaires. Ce que l’on appelle « identifiant publicitaire » consiste en une chaîne de caractères associée à un unique smartphone et permettant à des annonceurs de le reconnaître pour lui adresser de la publicité. « Comme son nom l’indique, cette donnée est identifiante : il s’agit donc d’une donnée personnelle. Un acteur disposant de deux sources de données présentant le même identifiant publicitaire est en mesure de relier les informations et de construire un profil plus complet de la personne à laquelle l’identifiant est associé », souligne la Cnil.

Deux missions : information et veille techno
Un courtier de données est à même de pouvoir relier les données d’utilisations collectées à partir de différentes applications installées sur un même smartphone. « Plus cet identifiant est stable dans le temps, fait remarquer l’autorité, plus il permet d’accumuler des informations sur les habitudes des propriétaires de smartphones. Il est donc conseillé de renouveler régulièrement cet identifiant ». Dans l’étude du Linc, l’identifiant publicitaire ne sera utilisé que pour faire le lien entre les points de localisation correspondant à un même smartphone. Un acteur de la publicité, lui, cherchera à faire le lien utiliser la valeur de l’identifiant pour l’associer à d’autres données telles que des données d’utilisation d’applications mobiles. La course à la géolocalisation mobile à des fins de publicités ciblées en temps réel – le RTB (Real Time Bidding) – serait la plus grande atteinte à la vie privée, selon l’ONG irlandaise ICCL (3), qui a publié le 16 mai dernier une étude édifiante (4) : en Europe, l’industrie du RTB expose les données des gens 376 fois par jour en moyenne ; aux Etats-Unis, c’est 747 fois ! L’industrie américaine et européenne du RTB a généré plus de 117 milliards de dollars en 2021.

Des mesures législatives ou réglementaires ?
Cette étude sur les données de géolocalisation collectées par des applications mobiles s’inscrit dans le cadre de deux missions précises de la Cnil prévues par la loi « Informatique et Liberté » : d’une mission d’information telle que définie dans l’article 8.I.1 (« Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ») ; d’une mission de suivi de l’évolution des technologies de l’information telle que définie dans l’article 8.I.4 (« Elle se tient informée de l’évolution des technologies de l’information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l’exercice des droits et libertés mentionnés à l’article 1er »).
Dans sa mission de suivi de l’évolution des technologies de l’information, la Cnil peut même proposer au gouvernement des mesures législatives ou réglementaires pour procéder à l’« adaptation de la protection des libertés à l’évolution des procédés et techniques informatiques et numériques ». Reste à savoir s’il faudra adapter les textes en vigueur aux données de géolocalisation collectées par des applications mobiles, à la revente de données et aux pratiques des data brokers. Quoi qu’il en soit, la Cnil est tenue de contrôler la conformité des acteurs du numérique en France au RGPD, et les données de géolocalisation des données mobile – à l’ère du smartphone utilisé comme premier écran – sont particulièrement sensibles à cet égard.
D’autant que la loi « Informatique et Libertés » de 1978 n’a jamais été autant réécrite depuis l’ordonnance « Protection des données personnelles » du 12 décembre 2018 qui a mis en conformité le droit national français (5) avec le RGPD entré en vigueur au niveau européen depuis le 25 mai 2018. Cette transposition a notamment eu un impact sur le 1er article de cette loi française historique sur l’informatique, les fichiers et les libertés, qui en réfère désormais au RGPD européen notamment. Ainsi : « L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Les droits des personnes de décider et de contrôler les usages qui sont faits des données à caractère personnel les concernant et les obligations incombant aux personnes qui traitent ces données s’exercent dans le cadre du [RGPD], de la directive [dite « Police-Justice », ndlr (6)] et de la présente loi [« Informatique et Libertés »] ».
L’on comprend pourquoi la collecte des données de géolocalisation par les éditeurs d’applications mobiles soit mise sous surveillance et fasse l’objet d’une enquête de la part du régulateur des données personnelles. La question de l’anonymisation de ces data géolocalisées et de leur identification en tant que données personnelles est cruciale, voire épineuse pour tout l’écosystème numérique et publicitaire.
Surtout que la directive européenne dite « ePrivacy » – modifiée (7) et transposée à l’article 82 de la loi « Informatique et Libertés » – interdit la collecte de données sans le consentement préalable de l’internaute (du mobinaute) concerné et sans qu’elle ait été rendues anonymes. Or cette directive « ePrivacy » prévoit en son article 5.3 que « les Etats membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, (…) d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. (…) ». Cette disposition, transposée dans des termes similaires en droit français dans la loi « Informatique et Libertés », concerne a priori aussi bien les cookies stockés sur tout terminal connecté que l’accès aux données de géolocalisation qui y sont stockées.

Cookies et data géolocalisées, même combat ?
D’ailleurs, comme elle l’a déjà fait pour les cookies déposés par Amazon et Google (8), la Cnil pourrait très bien recourir non pas au RGPD – lequel suppose à « l’autorité chef de file » de coordonner la prise de décision avec les autres autorités concernées par le traitement des données en question – mais à s’appuyer plutôt sur cette directive « ePrivacy ». Dans ce cas, le gendarme français des données personnelles peut se considérer comme territorialement compétente pour contrôler et sanctionner des acteurs – même étrangers – abusant de la géolocalisation de données mobiles via leurs activités en France. @

Charles de Laubier

Nafstars veut devenir le « Sorare » de la musique

En fait. Le 17 juin, a été lancée la plateforme Nafstars, permettant de gagner des cartes ou des jetons en jouant selon le principe du « play-to-earn ». A l’instar de la plateforme Sorare dédiée aux fans de foot et de ses joueurs, Nafstars propose aux fans de musiciens de « gérer leur propre label avec de véritables artistes sous forme de NFT ».

En clair. Malgré l’effondrement du marché mondial des NFT ces derniers mois (1), les industries culturelles restent attirées par l’écosystème de ces jetons non-fongibles gérés et authentifiés par la blockchain. La musique n’y échappe pas. Après Audius, Bolero Music, Limewire, Pianity ou encore Tamago qui sont les pionniers de la « NFTéisation » de l’industrie musicale (2), voici un nouvel entrant : Nafstars, société niçoise cofondée par Romain Delnaud, ancien directeur de label chez Universal Music où il fut auparavant directeur des opérations internationales, Cyril Braun, producteur d’artistes à succès (Aldam Production), et Jean-David Pautet qui préside l’entreprise dont il est l’un des coactionnaires.
Ce dernier est par ailleurs coactionnaire de Sorare, plateforme française lancée en 2019 et cofinancée par Softbank pour collectionner des cartes et des jetons NFT autour de footballeurs préférés des fans. Nafstars s’en inspire pour se développer dans le domaine de la musique avec ses tokens « $Nstars » et ses cartes NFT. Attendue depuis le début de l’année, la plateforme basée sur la blockchain Polygon a été lancée officiellement le 17 juin lors d’une rencontre organisée sur la croisette à Cannes, une semaine après le Midem – Marché international du disque et de l’édition musicale – qui s’y tenait. Il s’agit d’un jeu dit « play-to-earn » (P2E), catégorie qui monte en puissance dans le Dixième art (3), « qui permet aux joueurs de gérer leur propre label avec de véritables artistes sous la forme de NFT ». Le joueur peut notamment collectionner des cartes NFT sous licence exclusive afin de constituer son propre label. Plusieurs artistes ont signé avec Nafstars (d’Eva Queen à Jacky Brown en passant par Bolemvn, Blaya et Calema), qui compte parmi ses partenaires NRJ (groupe de Jean-Paul Baudecroux), Fun Radio (groupe M6), Trace (Modern Times Group) et Universal Music (spin-off de Vivendi).
La première des majors mondiales « du disque » permet la vente de cartes physiques avec code lors des tournées des artistes. La start-up Nafstars a obtenu le soutien de la banque d’investissement publique Bpifrance, notamment pour « le paiement des minimums garantis demandés par certains ayants droits internationaux », et a annoncé en avril dernier avoir levé 1,7 million de dollars. L’ambition de la plateforme est de s’imposer dans le secteur du divertissement. @

« Facebook, Google & Big Telecoms veulent continuer à violer la neutralité du Net en Europe… »

« … Les régulateurs devraient les arrêter ». C’est l’alerte lancée par Barbara van Schewick, professeure de droit de l’Internet à la Stanford Law School aux Etats-Unis. Pour cette juriste allemande, les régulateurs des télécoms européens – du Berec – doivent préserver la neutralité de l’Internet.

L’organe des régulateurs européens des télécoms, appelé en anglais le Berec (1), s’est réuni du 8 au 10 juin à Chypre pour se mettre d’accord sur une mise à jour des lignes directrices sur « l’Internet ouvert » – alias la neutralité de l’Internet. Les précédentes avaient été publiées le 30 août 2016. Depuis, un arrêt de la Cour de justice de l’Union européenne (CJUE), daté du 15 septembre 2020, avait jeté un pavé dans la mare en déclarant contraire à la neutralité de l’Internet – donc illégale – la pratique du « trafic gratuit ».

Fort lobbying des Gafam et des telcos
Appelé aussi zero-rating, cet avantage consiste pour un opérateur télécoms à ne pas décompter dans son forfait mobile les données consommées par l’internaute pour un service « partenaire ». Le problème est qu’en « favorisant » tel ou tel service, l’opérateur mobile le fait au détriment des autres applications concurrentes. Facebook/ Instagram/WhatsApp, Google/YouTube, Netflix, Spotify, Apple Music, Deezer, Twitter ou encore Viber profitent du dispositif qui incite implicitement les abonnés mobiles à les utiliser en priorité puisqu’ils ne sont pas décomptés du crédit de données lié à leur forfait. Dans son arrêt de 2020, la CJUE épinglait ainsi le norvégien Telenor en Hongrie (2). Plus récemment, dans un autre arrêt daté du 2 septembre 2021, la CJUE s’en est prise cette fois à Vodafone et de TMobile en Allemagne pour leurs options à « tarif nul » contraires à l’Internet ouvert (3).
Ce favoritisme applicatif était identifié depuis près de dix ans, mais les régulateurs européens n’y ont pas mis le holà. Les « telcos » font ainsi deux poids-deux mesures : des applications gratuites et attrayantes face à d’autres payantes et donc moins utilisées. « Nous sommes réticents à la sacralisation du zero-rating qui, par définition, pousse les consommateurs de smartphones à s’orienter vers un service – généralement le leader capable de payer le plus – au détriment de ses concurrents, au risque de les faire disparaître », avait déclaré au Monde en 2016 l’association de consommateurs UFC-Que choisir (4). Plus de six ans après l’adoption par les eurodéputés du règlement européen « Internet ouvert » (5), les inquiétudes demeurent. « Des plans de gratuité discriminatoires tels que StreamOn de T-Mobile et le Pass de Vodafone violent la loi européenne sur la neutralité du Net », a dénoncé le 30 mai dernier Barbara van Schewick (photo), professeure de droit de l’Internet à la Stanford Law School aux Etats-Unis. Dans un plaidoyer publié par le CIS (Center for Internet and Society) qu’elle dirige dans cette faculté américaine (6), l’informaticienne et juriste allemande fustige « ces stratagèmes discriminatoires [qui] favorisent presque invariablement les propres services de l’opérateur ou ceux de plateformes géantes comme Facebook et YouTube ». Elle appelle le Berec à contrecarrer ces pratiques en les proscrivant clairement dans les prochaines lignes directrices révisées sur l’Internet ouvert. « Ce que décide le Berec aura un impact sur des millions d’Européens et, s’il fait les choses correctement, cela augmentera la quantité de données que les gens obtiennent chaque mois, tout en rétablissant la concurrence en ligne », espère Barbara van Schewick. Mais l’Organe des régulateurs européens des communications électroniques, basé à Bruxelles, subit de fortes pressions des lobbies des Gafam et des telcos « pour laisser des échappatoires afin que la gratuité discriminatoire puisse continuer ». Or, dénonce-t-elle, « cette pratique injuste cimente le pouvoir de marché des plateformes dominantes ».
Cette concurrence déloyale se fait aussi dans la musique en ligne et la SVOD. La professeure de droit de l’Internet cite le cas d’une start-up américaine lancée il y a dix ans, Audiomack. Après avoir examiné 34 programmes de zerorating pour les applications de musique en Europe, où cette plateforme musicale voulait de lancer, elle n’a pas eu d’offres ou de réponses de la part de 25 opérateurs télécoms. « Après dix mois de travail, elle a été incluse dans 3 programmes. Pendant ce temps, Apple Music était présent dans 26 et Spotify dans 23 », relate Barbara van Schewick.

Que le « trafic nul » soit bien interdit
Et d’après une étude d’Epicenter.works publiée en 2019, WhatsApp et Facebook, du groupe Meta, suivis par le français Deezer, sont les applications les plus « détaxées » parmi les 186 plans de trafic gratuit recensés (7). La professeure du CIS espère en tout cas que le Berec confirmera ce qu’il a déjà prévu d’indiquer dans les prochaines lignes directrices : à savoir que le trafic gratuit viole la neutralité du Net. C’est net et clair dans le projet de guidelines de mars dernier (8). Mais la professeure espère que toutes ces pratiques seront in fine clairement interdites, noir sur blanc, afin que les opérateurs télécoms ne puissent pas contourner l’obstacle. @

Charles de Laubier

TikTok diversifie la monétisation des productions

En fait. Le 2 juin, le média américain The Hollywood Reporter a révélé que TikTok lançait ce mois-ci une série payante intitulée « Finding Jericho » : 4,99 dollars pour les huit épisodes de 30 minutes chaque (dont les deux premiers gratuits). Une première pour le réseau social du groupe chinois ByteDance.

En clair. C’est une première tentative de production payante lancée sur la plateforme « Live Events » de TikTok avec un paiement à l’acte. Il a fallu les révélations de The Hollywood Reporter le 2 juin (1), suivies de celles de TechCrunch le lendemain (2), pour avoir connaissance de cette initiative de monétisation – sans précédent sur le réseau social du chinois ByteDance – d’une production diffusée en exclusivité.
Créée par la société Pearpop, cette comédie satirique utilise la plateforme Live Events que TikTok a lancée il y a près d’un an. Elle permet aux créateurs l’accès à des filtres, à des effets et au contrôle de la caméra. Les créateurs n’ont pas – contrairement à TikTok normal – de limites de temps lorsqu’ils sont en direct. Mais pour la première fois, les fonctions de Live Events ont été utilisées pour diffuser une production préenregistrée, une série. Les outils permettent aux créateurs de mieux planifier leurs prochaines sessions, pour sortir des docu-séries comiques comme « Finding Jericho », en en planifiant et en promouvant leurs événements à l’avance pour susciter l’adhésion de leur communauté. Les fans peuvent découvrir, s’inscrire et recevoir des notifications et des rappels lorsque le « live » est sur le point de commencer. Reste à savoir si TikTok ne sera pas tenté de produire ou coproduire des séries originales à la « Netflix » pour les proposer à son milliard d’utilisateurs dans le monde. Ce qui fait de la filiale de ByteDance un rival potentiel. « Pensez à Live comme une émission de télévision », suggère TikTok (3).
Le réseau social musical – ex-Musical.ly (4) – cherche ainsi à proposer aux créateurs et aux producteurs des outils pour gérer leurs publics et être rémunérés pour leur créativité et leurs productions. Fin mai, TikTok a lancé auprès de certains créateurs (5) la fonction « Live Subscription », afin de leur permettre de proposer un abonnement mensuel pour les fans qui acceptent de soutenir financièrement leurs créateurs préférés. Les fans abonnés payants reçoivent une insigne « abonné » et ont accès à des émoticônes personnalisées et exclusives, ou encore bénéficient d’un « chat » en tant que téléspectateur abonné payant permettant d’échanger directement avec le créateur. Fans et créateurs doivent cependant être âgés d’au moins 18 ans pour souscrire un abonnement payant, et le créateur avoir un minimum de 1.000 abonnés. @

Livre : l’Arcep veut ménager libraires et Amazon

En fait. Le 27 mai, se termine la consultation publique de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) sur sa proposition de « tarif minimum » pour la livraison de livres vendus en e-commerce. Fini les 0,01 euro TTC d’Amazon ? Pas vraiment.

En clair. Etant déjà régulateur des télécoms et, depuis octobre 2019, de la distribution de la presse, l’Arcep est en plus depuis décembre 2021 celui des tarifs d’expédition des livres. A ce titre, elle va proposer aux ministres de la Culture et de l’Economie « un montant minimal de tarification » de livraison du livre qui sera rendu obligatoire par arrêté aux plateformes de e-commerce – Amazon en tête – et aux librairies.
Le but de la loi « Economie du livre » du 30 décembre 2021 (1) à l’origine de ce projet est d’empêcher la pratique de livraison de livres à 0,01 euro TTC, initiée par le géant américain du e-commerce, avec lequel les librairies physiques ne peuvent rivaliser. Dans sa proposition de « tarif minimum pour la livraison des livres » soumise à consultation publique jusqu’au 27 mai (2), l’Arcep ménage la chèvre (Amazon) et le chou (le libraire) en avançant deux prix de livraison de livres. Le premier – « le tarif minimum d’expédition des livres neufs » – est proposé à « 3 euros TTC ». Ce qui devrait être accueilli favorablement par les librairies. Le second – « le tarif minimum d’envoi des livres à partir d’un seuil d’achat de livres neufs » – devrait rencontrer en revanche plus d’opposition, étant proposé à « 0,01 euro TTC » à partir d’un seuil « aux alentours de 25 euros d’achat ». Contactée par Edition Multimédi@, la sénatrice (LR) Laure Darcos à l’origine de la loi « Economie du livre » se dit « totalement défavorable à cette proposition ». Selon elle, « le point d’équilibre consisterait, d’une part à fixer un tarif minimal de livraison entre 3 euros et 4,50 euros, d’autre part à fixer le seuil de déclenchement de la quasi-gratuité des frais de port à 50 ou 60 euros ». L’Arcep justifie ce « seuil de quasi-gratuité » par le fait qu’il est déjà pratiqué par les acteurs du e-commerce pour inciter les acheteurs à « commander plus de livres ».
Ces deux tarifs s’appliqueront aussi pour les abonnements de type Amazon Prime ou Fnac+. L’Arcep prévoit en outre 0 euro de frais de port « si le livre est retiré dans un commerce de vente au détail de livres » (3). Le gouvernement pourrait notifier cet été le projet d’arrêté à la Commission européenne. S’il y avait feu vert au bout de trois mois de « statu quo », l’arrêté pourra être publié au J.O. et les vendeurs de livres auront six mois pour se mettre en conformité, soit pas avant 2023. @