Lors de notre enquête sur la startup Teemo et sa vision quelque peu étrange de la confidentialité, des questions sont restées sans réponses. Nous estimons que, après les nombreux commentaires de nos lectrices et de nos lecteurs, il est intéressant de les exposer pour avancer.

Nous sommes tout à fait conscients que notre enquête publiée hier sur la géolocalisation publicitaire made in France opérée par Teemo en partenariat avec des grands éditeurs présente quelques angles morts. Notre métier, comme beaucoup d’autres, doit avoir recours à des arbitrages et nous prenons en compte de nombreux facteurs avant de décider d’une publication. L’idée, pour nous, est de présenter une enquête qui ait une valeur objective pour nos lecteurs et qui répond à un ensemble de questions qui permettent d’éclairer un sujet.

Cela dit, nos moyens ne sont pas illimités, notre réseau n’est pas infini et nous aurions aimé vous apporter toutes les réponses aux questions qui ont été posées à la suite de la publication.

Ainsi, pour ouvrir notre travail à d’autres investigations, journalistiques ou citoyennes, nous avons choisi de résumer ici les inconnues que nous avons identifiées. Dans quel objectif ? Celui de permettre à d’autres de terminer l’information et la prévention quant à ces technologies.

Souveraineté et sécurité des données

S’il y a un secret sur lequel nous n’avons pas pu obtenir de réponses, c’est bien la localisation des données que la startup récupère. Or cette question est primordiale pour mesurer le risque que fait courir la startup à la sécurité informatique des citoyens français.

Nos sources, même très proches du dossier, ne disposaient pas de cette information. Et la discussion avec la startup n’a pas permis de clarifier cette question. En matière de sécurité, Benoit Grouchko, à la direction de Teemo, se félicite au téléphone des bonnes pratiques de son entreprise. Il disait notamment : « Nous chiffrons toutes les données avant de les conserver et nous adoptons les bonnes pratiques en interne, comme les changements fréquents des mots de passe. » Il faudrait donc faire confiance aux bonnes pratiques et à un chiffrement sur lequel nous n’avons pas d’indice quant à sa puissance.

Mais rapidement, la discussion avec M. Grouchko tourne à vide, le CEO est décidé à garder un langage sibyllin pour ne pas aborder le fond technique de la question. Il sera par ailleurs encore plus élusif lorsqu’il s’agira de répondre sur la nationalité des serveurs qui conservent les données personnelles de 10 millions de Français. À cette question, il répond simplement « dans le cloud », comme si le mot magique rendait les serveurs et les données tout à fait abstraites et transnationales. Alors qu’en matière de souveraineté, d’application des lois et de sécurité, la question de la localisation des données est essentielle.

Où vont nos données ?

Ce que nous savons néanmoins sur les pratiques de Teemo en la matière, c’est que l’entreprise utiliserait les services de Google Cloud Platform pour stocker ses bases de données, un service de cloud transnational qui peut inclure des serveurs dans l’Union Européenne… ou non.

Quant aux bonnes pratiques de Teemo, nous n’avons pas spécialement d’informations là-dessus.

Quelles sont les autres applications utilisant le SDK ?

La demande nous a été faite à de multiples reprises et très légitimement : quelles autres applications utilisent les services de Teemo ? Si nous savons qu’il existe bien une cinquantaine d’éditeurs en relation avec la startup, nous n’avons pu en identifier qu’une petite dizaine grâce aux différents recoupements d’informations que nous avons faits.

Toutefois, il reste un moyen de connaître l’ensemble des applications participant à la collecte de Teemo que nous n’avons pas pu exploiter : la technique. En effet, le SDK agissant dans l’application, est détectable dès lors qu’un patron des comportements du code peut être défini. Si vous avez les connaissances techniques et la capacité de partager cette information pour travailler à plusieurs sur ce sujet — qui demande quand même de contrôler les applications les unes après les autres –, n’hésitez pas nous en informer. Nous vous invitons par ailleurs à nous contacter si vous souhaitez plus d’informations sur ce sujet, notamment pour discuter de nos avancées.

L’autre méthode que nous avons trouvée pour obtenir cette fameuse liste concerne des services payants (très coûteux pour un média de notre taille) à destination des concurrents de Teemo : Mix Rank, notamment. Ce service propriétaire dresse une liste des SDK publicitaires les plus populaires afin de les surveiller. Cette surveillance sert ensuite aux startups travaillant dans la publicité à vérifier que leurs clients ne se sont pas fait la malle chez un concurrent. Contacté à de nombreuses reprises pour un essai, le service est resté mutique.

Si vous disposez de ces informations, ou d’un accès à Mix Rank, nous vous invitons à prendre contact avec nous. Selon nos recherches, les concurrents de Mix Rank comme 42matters ou AppAnnie ne répertorient pas Teemo.

Vigilance et bonnes pratiques

Enfin, cette enquête a également permis de confirmer une idée déjà très répandue : les milieux qui mêlent tech et publicité n’ont pas l’intention de jouer fair play avec les utilisateurs. Le respect de la loi et la protection des données est apparu, au fil des discussions dans ce secteur, tantôt exotique, tantôt facultatif. Même le RGPD dont le milieu parle beaucoup est finalement assez obscur pour de nombreux acteurs qui ont le pouvoir de décider.

Sans parler d’une incompréhension, il y a au moins, un motif comportemental répétitif qui oscille entre un mépris de la loi délibéré et un jeu du chat et la souris avec la CNIL.

L’idée que les technologies seraient suffisamment complexes pour entretenir un flou légal est très répandue. Les anecdotes concernant les contrôles de la CNIL durant lesquelles la Commission « ne comprendrait pas » les technologies sont assez courantes. Pourtant, la CNIL française est reconnue pour sa compétence au niveau du G29, la réunion européenne des CNIL. Il est donc très probable que le jeu du chat et de la souris, sempiternel, soit principalement la raison d’un oubli des lois : les contrôles étant aléatoires et souvent sur la base de dénonciation, les entreprises sont sur le fil du rasoir, mais croient à leur bonne étoile.

Le respect de la loi et de la protection des données est apparu, tantôt exotique, tantôt facultatif

Enfin, de manière systémique on repère un manque de compétences juridiques dans les startups. Une question qu’on imagine à la fois liée à la stratégie de croissance de ces dernières, mais également à des profils peu divers dans les équipes : les juristes ne sont pas légion dans les premières années de business des firmes de publicité mobile. Car enfin, il faut aussi comprendre qu’il s’agit d’un secteur bourgeonnant, où les startups disparaissent aussi vite que d’autres apparaissent et qui, nous nous répétons, est en pleine croissance.

De fait, les Teemo sont nombreux et les concurrents du Français sont potentiellement pires — à l’instar du cas AccuWeather dont nous parlions dans l’enquête qui fait grand bruit dans la presse anglophone. Ne soyons pas dupes, pour un Teemo découvert, plusieurs autres se cachent et parfois le calcul est cynique : une croissance débridée qui flirte avec l’illégalité est parfois plus rémunératrice qu’une amende. Tout est question de budget à allouer au risque.

De fait, la vigilance est le premier allié du consommateur face à un écosystème quelque peu imprévisible. Le mobinaute doit conserver une culture technologique suffisamment solide pour sortir la géolocalisation GPS et la confidentialité des données de la zone d’abstraction dans laquelle ces concepts se logent. À cette connaissance doit s’ajouter une culture économique pour mieux saisir les intentions de ces entreprises. Qui ne sont pas toutes mauvaises, rappelons-le : l’un des principaux points avec les questions qui touchent la vie privée est que la personne qui en cède une partie le fasse en connaissance de cause.

Enfin, nous espérons que cette enquête pourra nous donner l’occasion de nous interroger — que l’on soit développeur, mobinaute, annonceurs ou éditeurs — sur les conséquences des systèmes de ciblage que nous mettons en place. Pour cela, il s’agit de placer les technologies dans une perspective légale et morale qui malheureusement n’est pas tout le temps la priorité des startupers, pressés par l’horloge impossible d’un secteur où une invention en supplante une autre tous les jours.

Qui d’autre que le consommateur capable de sanctionner au portefeuille peut ramener ces entreprises à la raison ?