Une cinquantaine d'applications françaises fournissent à une entreprise tierce les données de localisation de 10 millions de Français, toutes les trois minutes, à des fins publicitaires. Cette traque massive de la population est organisée dans le secret d'une startup du neuvième arrondissement nommée Teemo, anciennement Databerries. Enquête.

Chez Teemo, ex-Databerries, lorsqu’on reçoit un futur client comme McDonald’s, Système U ou Carrefour, on n’hésite pas à mettre les petits plats dans les grands pour convaincre de la supériorité technologique de cette petite boîte française qui monte. Avec un slogan comme « real life targeting », le ciblage dans la vraie vie, il faut plus que de bonnes intentions pour séduire des annonceurs. Alors dans la startup, ce sont les expérimentations en temps réel qui servent à montrer la force de frappe de Teemo. Et il faut dire qu’elles sont impressionnantes — inquiétantes.

En général, cela se passe de la manière suivante :

« Client : — Si je vous demande de me pister et de me dire où je suis, vous pourriez ? Teemo : — Oui, donnez-nous votre IDFA [identification publicitaire des iPhone]. »

Le client cherche dans son iPhone cette suite de numéro mystérieuse. Une fois trouvée, les ingénieurs l’entrent dans leur base comme s’il s’agissait d’une plaque minéralogique. Quelques secondes plus tard, sur une carte de Paris, ils retracent les derniers déplacements du client : « Vous êtes allé au restaurant hier soir ? ».

Mieux encore : sans l’IDFA, et seulement avec l’adresse et le lieu de travail d’une personne, retrouver n’importe quel Français prendrait 5 secondes à une équipe de 20 personnes, selon les informations que notre source nous a communiquées. Le Président de la République est encore plus simple à trouver, nous explique-t-on, car « il est fan de l’Équipe et est toujours suivi par une dizaine d’autres smartphones ».

Dès lors Teemo est omniscient. Mais de facto n’importe quel assaillant potentiel de la firme pourrait le devenir, avec des conséquences graves.

La démo est bluffante et l’annonceur part avec des rêves de campagnes pub plein la tête. Car Teemo n’est pas une startup comme les autres : soutenue entre autres par le géant hexagonal Criteo et enorgueillie d’une valorisation de 50 millions d’euros, la firme a développé une technologie qu’on nous promet enviable par-delà les frontières européennes.

La raison d’un tel succès ? Sur un des sujets les plus prometteurs pour la publicité numérique et mobile, les Français fournissent le rêve clef en main de la pub 4.0 et du pistage ininterrompu, discret et férocement précis.

Le rêve clef en main de la pub 4.0 et du pistage ininterrompu, discret et férocement précis.

Drive to store : un vieux rêve commercial

Selon nos informations, Teemo est capable en effet, de manière très discrète, de pister pas moins de 10 millions de Français, toutes les trois minutes, sans leur consentement grâce à une cinquantaine d’applications « partenaires ».

Derrière les mirifiques promesses de géolocalisation améliorée pour la publicité, la firme Teemo cache en réalité un modèle porté sur une surveillance forcée des utilisateurs français, et cela, au profit des marques qui se payent ses services.

À l’heure de l’écrasement des boutiques au profit du e-commerce, l’idée du drive to store est devenue la martingale des annonceurs. Et à ce titre, la solution Teemo est miraculeuse pour les grandes enseignes : elle permet de cibler l’internaute proche d’une boutique avec pignon sur rue, disposer de la publicité liée au lieu et enfin vérifier le taux de personnes ciblées s’étant rendues dans la boutique en question. C’est le fameux drive to store : le numérique conduit à l’aiguillage du client dans le monde réel et se mesure comme une performance.

Le drive to store a longtemps été une chimère difficile à atteindre et c’est probablement ce qui explique l’exceptionnel succès de Teemo. On se souvient peut-être des beacons par exemple, qui promettaient justement de lier notre monde virtuel au commerce réel, sans jamais être scalable (capables de passer à une échelle supérieure) : coûteux, complexes et trop soumis aux contraintes du réel, ces engins sont passés de mode. Teemo a donc le mérite d’avoir réalisé ce vieux rêve du monde post-Google : faire de vos déplacements une monnaie trébuchante à livrer à ses clients comme telle — vos va et viens prennent alors une valeur insoupçonnée.

Traquer 10 millions de Français, c’est vraiment légal ?

Mais si l’entreprise caracole avec ses performances et sa précision, il existe un domaine sur lequel elle est bien moins loquace : la loi et le respect de la vie privée. Car le contexte réglementaire a beau être sophistiqué et divisé entre Union européenne, CNIL et lois nationales, il apparaît de manière manifeste que Teemo ne respecte pas les principes posés par le GDPR ou en français le Règlement général sur la protection des données (RGPD), applicable au 25 mai 2018. Ni même, au demeurant, le cadre de la CNIL.

« Nous n’y sommes pas du tout » commente une source proche du dossier, persuadée que l’entreprise devra prendre ses distances avec ces pratiques. Mais pour le moment, tout va bien et la startup élude lorsqu’en interne la question de la confidentialité se pose. Le CEO, Benoît Grouchko, ex-Criteo, explique à des employés être dans les clous.

Les professionnels croyaient à une trêve des contrôles à l’aube de l’application du RGPD

Toutefois, selon nos informations, la CNIL est venue dans les locaux de Teemo avant l’été pour rencontrer unilatéralement M. Grouchko sans son avocat. Une information que ne pourra pas commenter la Commission de manière officielle puisqu’elle ne rendra qu’en mars prochain son rapport annuel avec la liste des sociétés contrôlées.

Les professionnels croyaient à une trêve des contrôles à l’aube de l’application du RGPD, ce qui aurait laissé aux entreprises le temps de se mettre à niveau. Mais il semblerait que ce ne soit pas le cas puisque Teemo éveille des soupçons suffisants pour que la commission sorte de sa réserve. Une source proche de la commission confirme discrètement auprès de Numerama : « Il y a des ouï-dire sur une gestion discutable de données récupérées via des SDK pour applications mobiles. […] Toutefois la CNIL ne pourrait communiquer dessus s’il y avait effectivement une enquête en cours… ».

Du côté de Teemo, on nous assure au téléphone que tout va bien, que la confidentialité est une priorité. La CNIL, en moyenne, ne prend pas plus de 10 sanctions par an contre des entreprises — du côté de Teemo on veut donc croire à la clémence. On argumente en outre que les données sont anonymes — vrai, mais en quoi est-ce suffisant ? — et enfin que les questions de confidentialité sont de la responsabilité des éditeurs qui collaborent avec Teemo et non de la firme.

Teemo pourrait passer dans les mailles du filet ? Cela apparaît, compte tenu de ce que nous savons de leurs technologies, peu probable.

D’autant que la startup sera bientôt contredite par le RGPD sur la confidentialité qui introduit une norme, présente en France, sur le consentement pour la géolocalisation. Les CNIL européennes ont en effet observé que lorsqu’une application ou un site demande à accéder à la localisation de son utilisateur, elle n’a pas à indiquer dans quel cadre, à quelle fréquence et pourquoi. Cette réflexion a conduit à la création d’un cadre qui définit mieux le consentement de l’utilisateur : ce dernier doit désormais savoir pourquoi il doit accorder à une application ses données de localisation.

En outre, cette nouvelle nuance réglementaire se prépare parallèlement à de nouvelles dispositions pour la confidentialité sur iOS 11. Le système d’exploitation d’Apple va en effet, comme annoncé lors de la WWDC 17, mettre en place un nouvel avertissement pour l’utilisateur lorsqu’une application demandera son autorisation pour le localiser. Plutôt que de faire un choix définitif, l’utilisateur pourra choisir entre parfois et tout le temps. La formulation choisie par Cupertino est bien entendu précise pour inciter l’utilisateur à plus de vigilance quant à ses données personnelles.

Ces changements ont, consciemment ou non, tous deux l’opportunité de détruire le business de Teemo et d’en montrer le caractère dangereux. D’un côté, la loi va commencer à pénaliser le flou sur lequel la startup prospère et de l’autre, Apple va réduire comme peau de chagrin sa base d’utilisateurs forcés.

Et pour comprendre pourquoi, il faut expliquer le modèle de fonctionnement de Teemo.

Un business model : cheval de Troie

Le business de la startup s’adresse distinctement à trois groupes d’acteurs économiques : en premier lieu, les éditeurs, en second, les annonceurs, et enfin, l’utilisateur final. Le seul à ne pas être mis dans la confidence du pistage est évidemment l’utilisateur — les deux autres entités participant au pistage.

Selon nos recherches, pour parvenir à recueillir la localisation de 10 millions de Français, il faut pouvoir prétendre à une omniprésence sur les boutiques d’applications. Or Teemo n’étant pas un service reconnu auprès du public, c’est évidemment par des biais détournés que la firme s’introduit dans nos mobiles. En effet, l’entreprise développe un SDK (Software Development Kit) publicitaire pour des grandes applications populaires qu’elle propose ensuite à celles-ci. C’est le même logiciel qui affiche les publicités dites display dans les applications partenaires de Teemo.

Ce SDK est un logiciel dans le logiciel qui va, en se masquant derrière l’appli éditeur, accéder à vos données de localisation afin de les envoyer, toutes les 3 minutes, à Teemo. Afin que l’opération soit indolore pour la batterie de nos smartphones, le SDK ne demande pas forcément au smartphone une nouvelle triangulation, mais récupère les données laissées par des localisations précédentes d’autres applications.

Ainsi, la promesse de la firme est tenue : toutes les trois minutes, dans l’indifférence de l’utilisateur, Teemo répertorie, récupère et vend ses données. Mais qui sont les éditeurs qui ont accepté de travailler avec une boîte aussi peu scrupuleuse et d’ajouter à leurs applis un véritable Cheval de Troie ? Au rang des grands noms qui vendent vos données à Teemo, on peut citer Le Figaro, L’Équipe, Météo France, Closer ou encore Télé Loisirs. Mais au total, une cinquantaine d’applications mainstream sont concernées.

L’utilisateur accorde un droit à l’éditeur et non à Teemo

En échange, ces éditeurs perçoivent un revenu publicitaire de la part de la startup. Mais le marché passé entre ces éditeurs et Teemo pose question : les éditeurs, en adoptant le SDK, se rendent légalement responsables de la collecte des données de son utilisateur, d’autant que ce dernier, lorsqu’il accepte d’être localisé sur iOS et Android, accorde ce droit à l’éditeur et non à Teemo selon la loi.

Mais un acteur comme Le Figaro rend-t-il clair que la localisation de l’utilisateur sera utilisée de manière ininterrompue et livrée à un agent publicitaire tiers ? A priori, pas vraiment selon les Conditions Générales d’Utilisation du Figaro.fr qui servent pour l’app du média comme pour le site et qui ne mentionnent pas cette pratique. Contacté, le média n’a pas souhaité délivrer une version précise de ses CGU pour son application. La lecture de ces CGU nous portera à nous attarder sur l’article 10 qui évoque brièvement notre problématique sans livrer d’informations qui nous permettraient de comprendre que nos données sont utilisées de manière continue par un tiers.

Il y a donc dans ce cas de figure un vrai manque d’information de l’utilisateur pour que la pratique de Teemo soit loyale… et licite. En outre, le CEO de la startup nous confirme que les termes de l’accord doivent être définis par les éditeurs et non seulement par sa firme. Il nous précise : « Nous ne sommes pas en contact avec l’utilisateur de manière directe, c’est donc au niveau des apps que les CGU prennent place. »

Côté CGU de Teemo, il n’y en a pas. Seulement une page parlant de confidentialité de manière vague sur le site de la compagnie.

La loi et l’opinion

Malgré la confidentialité nécessaire à la rédaction de cette enquête, nous avons dû interroger de nombreux acteurs, parfois détachés de ces problématiques. Et si peu de nos interlocuteurs se sont montrés à l’aise avec le réseau tentaculaire de données perçues par Teemo, peu se sont montrés surpris du tournant pris par ce type d’entreprises.

Comme nous l’expliquions en introduction, Teemo — et ses concurrents — intervient durant les balbutiements des nouvelles technologies de ciblage publicitaire dont le drive to store. Or la loi n’est pas forcément très à jour quant à ce domaine et le grand public est assez peu vigilant. De fait, l’installation sur la durée de ces business model est aujourd’hui une réalité.

Malgré les contrôles de la CNIL, Teemo a montré qu’il était encore possible à l’heure actuelle de surfer sur des failles législatives et un peu de flou technologique pour « récupérer le cash avant que ce soit illégal », résume une source.

Toutefois, à l’aube des nouvelles versions des OS mobiles et de la mise en application de la RGPD, les Teemo de ce monde pourraient être contraints à changer rapidement leurs pratiques.

Selon Olivier Iteanu et Clara Petit, du cabinet parisien Iteanu Avocats, spécialisé sur la question des données personnelles, Teemo pourrait dès le printemps être hors des clous du RGPD. Ils expliquent de concert : « Dans le règlement général, il n’est pas directement question de géolocalisation, mais de données personnelles. Toutefois, il s’applique toutes les règles concernant les données personnelles à la localisation, qui est considérée comme telle. Ainsi, le mot fort du RGPD serait ici la loyauté de la collecte telle qu’introduit par le texte. »

Le règlement instaure en effet trois concepts maîtres pour la collecte : il faut qu’elle soit licite, loyale et transparente. Et la loyauté implique une information de l’utilisateur ainsi qu’un fondement pour légitimer la conservation et le traitement des données selon l’article 6 du RGPD : « [les données personnelles] sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. »

En outre, la proportionnalité de la collecte importe aussi ; la masse de données — 10 millions de cibles, toutes les trois minutes — pourrait être attaquée par le règlement : « [les données personnelles doivent être] adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement. »

Côté Teemo, Benoit Grouchko éludera gentiment sur la RGPD qui selon lui « va les inciter à des modifications, mais c’est le cas pour toutes les sociétés en contact avec des données, se justifie-t-il avant de minimiser l’importance du règlement : c’est surtout beaucoup de changements administratifs que nous sommes en train de gérer ». Il reconnaît en revanche la « coresponsabilité » imposée par le règlement aux éditeurs et aux tiers gérant des données.

Mais si le RGPD souffle sur les braises de Teemo, il existe déjà, dans les 5 règles d’or de la CNIL (Loi informatique et libertés) d’autres motifs qui contredisent la légalité de la collecte de données par la startup : Maître Iteanu rappelle que la Commission veille déjà au respect de la finalité des collectes, de la pertinence de celles-ci (et donc de leur minimisation), ainsi que naturellement, au droit des personnes. Or selon les avocats, des sanctions pourraient donc déjà être prises à l’égard de Teemo à la suite du contrôle de la CNIL, mais également dans un cadre pénal si un utilisateur porte plainte.

La loi prévoit une sanction qui s’élève pour les entreprises à 900 000 € avec emprisonnement. Après l’adoption du RGPD, l’amende se rapportera au chiffre d’affaires mondial de la société, à hauteur de 4 %.

Toutefois, Teemo se défend en rapportant sa responsabilité juridique à l’éditeur qui, lui, est également en charge de la collecte. Il existe pourtant selon Maître Petit, un précédent qui vient montrer que l’entreprise, en tant que sous-traitant, peut quand même être visée par la justice. Maître Petit rappelle que Pages Jaunes a été condamné par la CNIL pour avoir capté des données depuis les réseaux sociaux, tout en argumentant que les utilisateurs avaient accepté la collecte de ces données par les mêmes réseaux. Toutefois, à aucun moment l’utilisateur n’avait accordé son consentement à l’entreprise Pages Jaunes. Le Conseil d’État, après la CNIL, confirmera cette sanction qui pourrait servir de précédent.

Pages Jaunes a été condamné par la CNIL pour avoir capté des données des réseaux sociaux

En outre, toujours dans le RGPD, le « sous-traitant », ici Teemo, doit rendre compte de sa collecte comme le responsable du traitement, ici les éditeurs. Ces dispositions sont détaillées dans l’article 14 du règlement et mentionnent l’obligation, pour le sous-traitant, d’informer. Enfin, au pénal, Teemo pourrait également être attaqué pour « complicité dans la fourniture ».

Alors légale cette collecte ? Pas franchement. Mais les forces de l’ordre ne sont pas les seules impliquées dans l’affaire. Selon nos informations, le cas Teemo est également traité par les plus hautes sphères de Cupertino.

Cupertino et l’opinion publique vont-ils changer le système ?

En effet, une source proche du dossier côté CNIL explique qu’à la manière de la remontrance passée par Tim Cook à Travis Kalanick lorsque Uber abusait de la géolocalisation sur iPhone, la cellule « relations aux développeurs » d’Apple aurait contacté la CNIL pour évoquer la collecte des localisations par Teemo.

Il se murmure même que ce serait Cupertino qui ait invité la CNIL à contrôler la boîte française. Invérifiable, nous laisserons la rumeur se dissiper. Toutefois, comme détaillé précédemment Apple a agi et dès iOS 11, la firme introduira une interface plus proche des vœux du RGPD et plus informative pour l’utilisateur. Apple espère que ce dispositif augmentera la vigilance des utilisateurs face aux différents collecteurs de données discrètement logés dans nos smartphones.

Car c’est bien l’opinion publique qui doit également changer pour pousser le marché à résister à l’appel de la collecte disproportionnée et dangereuse : les entreprises concernées sont encore trop discrètes.

Elles sont pourtant nombreuses : lors de la rédaction de cette enquête, l’application anglophone AccuWeather était critiquée pour des raisons similaires.Néanmoins, il s’avère que l’appli météo anglophone allait plus loin que Teemo puisqu’elle se dispensait de l’autorisation de l’utilisateur pour collecter des données de localisation à travers l’adresse MAC quand la startup française utilise l’IDFA.

I just published “Advisory : AccuWeather iOS app sends location information to data monetization firm” https://t.co/C56m9QjJ7R — Will Strafach (@chronic) August 21, 2017

Le CEO de Teemo, précise d’ailleurs, à propos d’AccuWeather, avec un zèle certain, qu’il « condamne ce comportement préjudiciable pour l’ensemble de l’écosystème publicitaire », ajoutant qu’il s’agit d’une pratique particulièrement condamnable puisqu’elle laisse entendre que tous les acteurs ne respecteraient pas la loi.

Ironique.