Noyb porte plainte contre la Fnac, SeLoger et MyFitnessPal auprès de la Cnil
L'association européenne de défense de la vie privée des citoyens Noyb (pour "none of your business") dépose auprès de la Cnil ce jeudi 14 septembre trois plaintes visant la Fnac, SeLoger et MyFitnessPal pour collecte et partage illégaux de données personnelles d'utilisateurs sur leurs applications mobiles. L'association soutient que ces trois applications accèdent illégalement aux données personnelles des utilisateurs et les partagent avec des tiers. Selon Noyb, l'utilisateur n'aurait même pas le choix de consentir ou d'empêcher le partage de ses données.
Les trois plaintes concernent un seul et même utilisateur, explique au JDN Ala Krinickytė, avocate en protection de données de l'association. Pour tester et démontrer les violations à la loi, Noyb s'est appuyé sur PiRogue, l'outil open source de la société française de cybersécurité Defensive Lab Agency. "Les faits ont été observés en mai dernier", précise-t-elle. "Le plaignant a installé les applications populaires MyFitnessPal, Fnac et SeLoger sur son smartphone Android. Une fois ouvertes, les applications ont immédiatement commencé à collecter et à partager avec des tiers des données personnelles, notamment l'identifiant publicitaire unique de Google (AdID), le modèle et la marque de son appareil et l'adresse IP locale", indique Noyb dans un communiqué. "Une collecte de données aussi étendue permet de profiler les utilisateurs afin de leur montrer des publicités personnalisées et des campagnes marketing visant à augmenter les revenus des entreprises mentionnées." Aucune analyse n'a été faite sur iPhone.
L'association rappelle que la directive européenne ePrivacy prévoit que le simple accès ou le stockage de données sur le terminal de l'utilisateur n'est autorisé que si ce dernier donne son consentement libre, éclairé, spécifique et sans ambiguïté. "Deux des trois applications mobiles n'affichaient pas de bannière de consentement lors du lancement de l'application. La troisième application présentait une bannière qui donnait théoriquement au plaignant la possibilité de consentir ou non. Cependant, la transmission de ses données personnelles a commencé sans aucune interaction de sa part, et avant même qu'il n'ait eu la possibilité de réfléchir à ce qu'il préférait", indique Noyb. "Chaque application a besoin du consentement pour vous suivre. Au lieu de cela, elles utilisent la collecte et le suivi des données par défaut", déclare Ala Krinickytė.
Au cœur du raisonnement des juristes de Noyb se trouve également le fait que l'AdID soit unique et lié à l'appareil d'une personne spécifique. "Cela permet aux annonceurs et à d'autres de distinguer les utilisateurs et de les cibler ensuite." L'association va jusqu'à indiquer que certains fournisseurs d'applications suivent le comportement des utilisateurs même en dehors de leurs environnements. "Cela leur permet d'enrichir les données collectées avec encore plus d'informations sur la vie de l'utilisateur". L'association précise cependant au JDN que, concernant les trois applications visées par les trois plaintes, aucune analyse n'a été faite sur un recours possible par ces dernières aux mauvaises pratiques de suivi des utilisateurs en dehors de leur propre environnement.
Le début d'une longue série de plaintes
Noyb demande à la Cnil d'ordonner à Fnac, SeLoger et MyFitnessPal de supprimer toutes les données ayant fait l'objet d'un traitement illicite tout comme d'informer les tiers destinataires des données des plaignants de supprimer tout lien, copie ou réplication de leurs données personnelles. "Compte tenu de la gravité des allégations et du nombre potentiellement important de personnes concernées, noyb suggère également que l'autorité compétente leur inflige une amende", indique l'association.
Cette initiative n'est pas une surprise et ces plaintes ne sont que le début d'une longue série de procédures à venir. Noyb avait fait savoir dès fin 2022 puis à la rentrée que les applications mobiles étaient dans son viseur pour collecte illicite de données personnelles, un problème qui selon eux est généralisé.
Pour l'accompagner dans ses plaintes Noyb a fait également appel à Konrad Kollnig, professeur assistant au Law and Tech Lab de l'université de Maastricht. En 2021, alors qu'il était doctorant à l'université d'Oxford, Konrad Kollnig a publié avec d'autres chercheurs une étude selon laquelle, parmi un échantillon de 1 201 applications testées et analysées en 2020, seulement 9,9% avaient demandé le consentement des utilisateurs. Parmi ces dernières, 43,7% donnaient comme seule alternative d'accepter le partage. Le chercheur rappelle que les applications mobiles sont elles aussi tenues de respecter le Règlement général sur la protection des données (RGPD). Ce n'est donc pas un hasard si le gendarme français du RGPD, la Cnil, voit dans la sécurité des données personnelles au sein des applications mobiles une de ses priorités pour cette année. L'organisme a justement soumis à consultation publique fin août son projet de recommandations pour la bonne application du RGPD.