Le fondateur de Teemo répond aux accusations d'espionnage
Il s'était fait discret depuis la sortie fin août d'un article de Numerama épinglant les pratiques de sa société en matière de collecte de la data de géolocalisation. Accusé de procéder à "une surveillance forcée des utilisateurs français" dans les limites du cadre défini par la Cnil, le cofondateur du spécialiste du ciblage mobile géolocalisé Teemo (ex-Databerries), Benoit Grouchko, a finalement accepté de prendre la parole pour répondre au JDN.
"Ce genre d'article ne fait jamais plaisir et a suscité pas mal de questions dans notre entourage, explique-t-il. Il a fallu rassurer les équipes en interne ainsi que les partenaires, les éditeurs et les agences." S'il continue à travailler avec les éditeurs mentionnés dans l'article, ses relations avec certaines agences se sont bien refroidies. OMD et Group M auraient selon nos informations décidé de ne plus travailler avec Teemo. Une information que Benoit Grouchko commente d'un lapidaire "Tout va bien avec les agences."
De même, alors que Numerama évoque dans son article une rencontre sensible entre la Cnil et Benoit Grouchko, ce dernier assure avoir de bonnes relations avec l'organisme chargé de défendre la vie privée des Français. "La Cnil est dans son rôle : effectuer des contrôles auprès des entreprises et émettre des avis en conséquences. Elle nous a rencontrés à ce titre-là", assure-t-il. Pour quel résultat ? "Quand elle n'est pas contente, elle le dit. Je ne crois pas avoir vu quoi que ce soit concernant Teemo à ce sujet." Une source de la Cnil, qui ne commente jamais officiellement ce genre d'informations, rétorque en off que "la conclusion des contrôles peut prendre du temps parfois car on a besoin de stabiliser la doctrine sur certains sujets."
Droit dans ses bottes, Benoit Grouchko déclare "respecter la réglementation en vigueur et n'avoir rien à se reprocher." Il assure au contraire de son souci du respect de la vie privée. "Tout simplement parce que la collecte de données, c'est le cœur de notre métier."
Un contexte règlementaire flou
Le cas Teemo pose pourtant question au regard des grands principes édictés par la Cnil en matière de collecte de la data, dont "la finalité doit être déterminée, légitime et explicite". Or elle ne semble pas explicite chez les éditeurs partenaires de Teemo : si un bandeau est bien présent pour demander un consentement de géolocalisation, il ne mentionne pas que la data sera exploitée à des fins commerciales. Ils sont une grande majorité dans ce cas. Le sujet est d'autant plus sensible que c'est ici la responsabilité juridique de l'éditeur qui procède à l'opt-in qui est engagée.
Mais la Cnil, qui a pointé du doigt dans une étude publiée fin 2014 que "beaucoup d'applications accèdent très souvent à la localisation", n'a pris aucune mesure. Teemo opère donc dans un contexte juridique flou et, à en croire Benoit Grouchko, c'est le cas de tout le marché de la pub mobile. "L'article de Numerama se focalise sur Teemo alors que toutes les questions qu'il soulève concernent l'ensemble du marché publicitaire", s'agace le dirigeant. Effectivement, Numerama ne mentionne que Teemo (sans doute parce qu'il est le plus puissant des spécialistes français) alors que d'autres acteurs de la collecte de géolocalisation comme Singlespot ou Vectaury sont eux aussi concernés. Tout comme des applications comme Uber ou Waze qui utilisent cette data géolocalisée à des fins commerciales.
Le patron de Teemo va, en revanche, un peu loin lorsqu'il avance que "dans de telles conditions, les éditeurs devraient arrêter de travailler avec tous leurs partenaires data sur mobile, retargeters y compris, puisqu'ils ne ne passent pas par un opt-in pour envoyer des publicités ciblées." L'argument est discutable dans la mesure où ces derniers ne s'appuient que sur des identifiants uniques (IDFA ou Android ID) qui ont été créés par Apple et Google à des fins publicitaires et ne permettent pas de remonter à un utilisateur. "La Cnil n'a jamais statué sur l'obligation d'un bandeau in-app lorsqu'on utilise un identifiant unique à des fins marketing", confirme un connaisseur du dossier. Ce qui pose question dans le cas Teemo, ce n'est pas l'exploitation de l'identifiant unique mais celle de la donnée géolocalisée.
"Teemo planche sur la mise en place d'un privacy impact assessment"
Benoit Grouchko met le flou actuel sur le compte d'un manque de maturité du marché. "Il a fallu des années au monde des cookies pour se mettre à la norme" suite à la transposition en droit français de la directive européenne 'Paquet Télécom' en 2012, rappelle-t-il. Le monde in-app est encore très jeune, il faut être patient."
Problème, le temps va rapidement manquer avec l'arrivée fin mai prochain du règlement européen général sur la protection des données (RGPD). Celui-ci aura un certain nombre de conséquences pour Teemo au nombre desquelles la nécessité de procéder à une PIA (privacy impact assessment – étude d'impact sur la vie privée). Ce diagnostic aide les responsables du traitement de la donnée à se poser les bonnes questions avant de mettre en place leurs dispositifs, de prendre les mesures de sécurité nécessaires et de montrer à l'autorité de régulation qui viendrait contrôler que les risques ont été anticipés. "On fait tout pour se mettre en conformité avec ce règlement et on s'est penché sur ce sujet de la PIA", plaide celui qui est en train de recruter un responsable du traitement de la donnée.
Objectif RGPD
Les chantiers sont nombreux. Il faudra également prouver que le consentement est donné librement. A savoir que les utilisateurs qui utilisent des applications qui nécessitent l'envoi de données de géolocalisation doivent avoir la possibilité de ne pas consentir à ce que ces data soient envoyées à un tiers, pour une finalité autre que celle de l'application initiale.
"Nous nous efforçons d'accompagner nos partenaires éditeurs dans la présentation du bandeau qui recueille le consentement pour être dans les clous", assure Benoit Grouchko. Il faut dire qu'avec le RGPD, les éditeurs et partenaires technos deviennent co-responsables. Certains des clients de Teemo ont d'ailleurs pris les devants en décidant de proposer un bandeau de collecte de l'opt-in de géolocalisation le plus transparent possible quant à la finalité commerciale du prélèvement sur Android. Une transparence qui, selon Benoit Grouchko, n'affecte pas le pourcentage de mobinautes qui acceptent.
Sur ce point, c'est une autre nouveauté qui pourrait faire le plus de mal à Teemo. Depuis IOS 11, les éditeurs d'application ont l'obligation de proposer trois options de partage de position dans les paramètres de leur application : "jamais", "toujours" ou "quand j'utilise l'app". La plupart ne proposaient jusque-là que les deux premières options. Cela risque d'impacter l'efficacité d'un Teemo qui est d'autant plus omniscient que ses partenaires trackent la géolocalisation du mobinaute à une forte fréquence. Car la grande majorité des mobinautes risque de refuser de partager sa position en continu lorsque ce n'est pas nécessaire.
"La triple option de partage de position impacte peu le taux d'opt-in"
Ici encore, Benoit Grouchko se montre plutôt serein. Le fondateur de Teemo rappelle d'abord que la gestion de la géolocalisation a toujours évolué avec l'arrivée d'une nouvelle version d'iOS. "J'attends de voir l'impact sur notre cœur de métier qui est la mesure de la visite en magasin, explique-t-il. Certains de nos partenaires proposent d'ailleurs déjà la triple option sans que l'opt-in chute fortement."
Benoit Grouchko est d'autant plus confiant que "la grande majorité du parc de smartphones concerne Android." C'est oublier toutefois que la prochaine version de l'OS de Google, Android Oreo, interdira elle aussi le tracking de la géolocalisation lorsque l'application est en arrière-plan pour cause d'effets négatifs sur la batterie.
Dans un contexte mouvementé, celui qui tient la barre d'une start-up de 50 collaborateurs veut garder le cap coûte que coûte. Pas question d'opter pour un pivot. "On est toujours à l'affût de nouvelles opportunités mais on a aujourd'hui un produit qui performe très bien et il n'est donc pas question de changer de modèle." En ligne de mire, les Etats-Unis où Teemo s'est lancé il y a peu. "Un marché très concurrentiel qui n'est pas concerné par le RGPD. Les débuts sont très prometteurs", confie-t-il.