Teemo, Fidzup : la CNIL interdit la géolocalisation sauvage - l'UE pense à la légaliser

20 juillet 2018 - Hier, la CNIL a déclaré illicites les activités de deux start-ups françaises, Teemo et Fidzup, qui géolocalisent des millions de personnes à des fins publicitaires et sans leur consentement. Elles ont trois mois pour cesser ces activités. Hélas, sur le long terme, leur modèle pourrait devenir licite : c'est en tout cas ce sur quoi l'Union européenne débat via un futur règlement ePrivacy.

Teemo

Teemo est l'emblème des start-ups qui n'existent pas pour durer, mais pour amasser un maximum de profits par une activité qui, depuis le début, est illicite. En mode « take the money and run ». Employant 35 salariés pour un chiffre d'affaires de 2,6 millions (en 2016), Teemo ne pourra pas survivre à la décision rendue hier par la CNIL.

Teemo analyse les données de géolocalisation de 14 millions de téléphones, obtenues via les applications mobiles de ses partenaires commerciaux, afin de faire de la publicité ciblée localement. Évidemment, les personnes surveillées ne sont pas informées de ce pistage et n'ont pas leur mot à dire. La CNIL exige aujourd'hui le consentement de ces personnes - ce que la loi « informatique et libertés » impose sans ambiguïté.

Teemo peut donc fermer boutique, puisque son chiffre d'affaires repose désormais sur l'espoir absurde que des utilisateurs renoncent à leur vie privée, sans contrepartie, mais simplement pour enrichir la start-up.

Bien. Mais que dire de ses nombreux partenaires qui ont financé et bénéficié de ce système de surveillance généralisée ? Sur le site de Teemo, on peut lire les témoignages de LeaderPrice, ToysRus, InterSport ou Volkswagen se réjouissant qu'une telle violation massive de nos libertés ait pu faciliter leurs activités publicitaires. Plus loin, parmi les entreprises qui ont « fait confiance » à Teemo (sans avoir consulté aucun juriste, on imagine), on retrouve encore Carrefour, Macdo, Decathlon ou la Fnac.

Par ailleurs, il y a un an, Numérama publiait une enquête sur Teemo qui, probablement, a conduit la CNIL à se saisir de l'affaire. L'enquête expliquait que Teemo s'était notamment infiltrée sur les applications mobiles du Figaro, du Parisien, de l'Équipe ou de Closer, avec l'accord de ceux-ci.

Depuis, Exodus Privacy a décrit précisément le fonctionnement de Teemo et les applications l'intégrant.

Aujourd'hui, l'ensemble de ces entreprises nous doivent de sérieuses explications : comment ont-elles pu se permettre de financer et d'autoriser une violation aussi manifeste de la loi au détriment des libertés fondamentales de leurs clients ? Leur responsabilité juridique et politique est en jeu.

Fidzup

Le cas de Fidzup est plus complexe.

La start-up, plus petite (24 salariés, 500 000€ de chiffre d'affaires), opère en deux étapes. Dans une première étape, elle installe des bouts de code sur les applications mobiles de ses partenaires commerciaux. La CNIL décompte neuf applications différentes, qui lui auraient permis d'infiltrer 6 millions de téléphones. Ces bouts de code permettent à Fidzup de collecter certaines données techniques sur les téléphones espionnés. Dans une seconde étape, Fidzup fournit à une centaine de magasins des boîtiers qui identifient les téléphones qui passent à proximité, à partir des données techniques collectées dans la première étape. Les magasins peuvent donc tracer leurs clients, tant en ligne que hors-ligne.

Cette seconde étape est particulièrement pernicieuse. Techniquement, nos téléphones émettent régulièrement des données techniques afin de se connecter aux bornes WiFi environnantes. Les boîtiers fournis par Fidzup interceptent ces données techniques pour identifier les téléphones, alors même qu'ils ne sont pas du tout des bornes WiFi.

Exodus Privacy décrit en détail le fonctionnement et les applications mobiles collaborant avec Fidzup.

Heureusement, en droit, cette technique d'interception est explicitement interdite. La directive 2002/58 de l'Union européenne, dite « ePrivacy », prévoit depuis 2002 à son article 5 qu'il est interdit « à toute autre personne que les utilisateurs d'écouter, d'intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d'interception ou de surveillance, sans le consentement des utilisateurs concernés ». Les données captées par Fidzup sont ici des « données relatives au trafic », car destinées à réaliser une connexion avec une borne WiFi.

Reprenant assez facilement cette logique, la CNIL a exigé que Fidzup demande le consentement préalable des personnes avant de collecter ces données - ce qui n'était pas le cas.

On pourrait ici donner la même conclusion que pour Teemo : aucun utilisateur n'acceptera de céder sa vie privée, sans contrepartie, pour enrichir Fidzup. L'avenir de la start-up semblerait donc aussi compromis.

Hélas, la situation est plus inquiétante.

ePrivacy

La directive ePrivacy, qui interdit aujourd'hui l'activité de Fidzup, est en cours de révision par l'Union européenne.

Il y a un an, le Parlement européen arrêtait sa position sur le texte (relire notre bilan sur ce débat). À l'article 8, §2, du nouveau texte, le Parlement a autorisé la collecte sans consentement des « informations émises par les terminaux des utilisateurs » - abandonnant ainsi une protection fondamentale qui nous est aujourd'hui offerte.

Le Parlement autorise cette surveillance en imposant une poignée de conditions aussi vagues que creuses : l'analyse doit être limitée à des fins de « comptage statistique » (c'est déjà le service que fournit Fidzup), les données doivent être anonymisées dès que la finalité est remplie (dès que Fidzup a fini de nous compter), les utilisateurs disposent d'un droit d'opposition (qui leur est indiqué par une affiche plus ou moins visible dans le magasin surveillé - ce que fait déjà Fidzup).

Aujourd'hui, la réforme de la directive ePrivacy est débattue entre les États membres de l'Union. Peu d'États membres semblent vouloir contrer les dérives du Parlement en matière de géolocalisation.

D'une main, l'Union européenne prétend nous offrir une protection importante avec le règlement général sur la protection des données (RGPD). D'une autre main, elle réduit la protection de nos libertés afin de sauver quelques start-ups illicites et néfastes (inutiles).

Si les débats sur le règlement ePrivacy se confirmaient comme allant dans ce sens, il faudra s'opposer à toute idée de réformer le droit actuel - qui, couplé au RGPD, nous protège encore aujourd'hui des volontés de surveillance de sociétés telles que Teemo ou Fidzup et de leurs partenaires.

De la construction d'une maison autonome à une vie collective inattendue

Construire une maison respectueuse de l'environnement, avec un investissement de moins de 20 000 euros : c'est le défi que se sont lancés Thomas et Elza à Champs-Romain, en Dordogne. Leur chantier participatif accueille des dizaines de personnes, en quête de savoir-faire mais aussi d'une autre manière de vivre. La web-série Side-Ways a participé au chantier.
Une maison qui ne demande pas de techniques complexes pour être construite, qui est fabriquée à partir de matériaux locaux ou recyclés, et qui a (...)

- Inventer / , , ,

Alerte canicule : ça chauffe sous les scalps France Insoumise

Quand une militante anti plein de choses perd une occasion de se taire

C'est l'été, il fait chaud. Gare à l'utilisation intempestive des réseaux sociaux, les esprits s'échauffent vite, quitte à proférer quelques imbécilités. Exemple...

Article du Canard

Cette semaine, le Canard publie un portrait de Sophia Chikirou. Chaque semaine, le palmipède dresse un portrait pas toujours amène d'une personnalité en page 7, sous la têtière "Prise de becs". Cette fois, c'est le tour de l'ex bras-droit de Jean-Luc Mélenchon. Crime de lèse-majesté, menteries évidentes, basse vengence, Sophia Chikirou mitraille sur Twitter.

Sophia Chikirou répond au Canard - Capture d'écran - CC
Sophia Chikirou répond au Canard - Capture d'écran - CC

Etant un peu au fait des choses canardesques pour y publier quelques articles depuis plus de vingt ans, je me permets d'apporter une précision. Sophia Chikirou se lance dans une théorie un peu conspirationniste dans la mesure où le "papa de Aude Rossigneux" a quitté le Canard depuis déjà un bon moment.

Echange de tweets - Copie d'écran - CC
Echange de tweets - Copie d'écran - CC

Rembobinons... Pourquoi cette tirade sur le papa d'Aude Rossigneux ? Parce que Aude Rossigneux a été licenciée par le Média, la chaîne dirigée par Sophia Chikirou et très proche (euphémisme) de la France Insoumise. Or, le papa en question a été rédacteur en chef du Canard Enchaîné. CQFD, le Canard publie un portrait de Sophia Chikirou pour venger la fille de son rédac'chef.

Oui, mais non. Le papa a quitté le journal depuis belle lurette.

Sophia Chikirou ne répond bien entendu pas à mon tweet. Mais une militante se charge donner des pistes de réflexions aux gens qui suivent le thread...

Le Canard, ce journal macroniste... - Copie d'écran - CC
Le Canard, ce journal macroniste... - Copie d'écran - CC

Si le Canard ne venge pas...

Les victimes civiles syriennes, tuées par tous les belligérants, méprisées des États-Unis comme de la Russie

Le 5 juin, Amnesty International dénonçait dans un rapport les conséquences catastrophiques de l'offensive menée dans la ville syrienne de Raqqa, de juin à octobre 2017, par une coalition dirigée par les États-Unis, pour chasser de cette ville le groupe armé État islamique (EI). Pour y parvenir, la coalition (composée de forces états-uniennes, britanniques et françaises et d'unités des forces démocratiques syriennes) a procédé à des dizaines de milliers de frappes aériennes. « Les forces américaines ont (...)

- En bref / , ,

Université d’été Mouvement Utopia 2018

Le rendez-vous phare de l’année approche… Du 27 au 30 septembre 2018, on se retrouve à l’Île de Ré !

Vous pouvez d’ores et déjà réserver vos dates, le programme et les infos pratiques arrivent très vite !

En attendant, vous pouvez découvrir ou redécouvrir la vidéo de l’Université d’été 2017 à Mandelieu-La-Napoule.

L’article Université d’été Mouvement Utopia 2018 est apparu en premier sur mouvement utopia.

Des vacances autrement ? Rejoignez le Tour de France des alternatives

Parti d'Amiens le 14 juillet, l'AlterTour 2018 poursuit sa route jusqu'à Strasbourg avec une arrivée prévue le 26 août. L'idée de cette manifestation itinérante à vélo ? Partir à la rencontre des initiatives porteuses de solutions pour la transition écologique et sociale, soutenir des lieux de résistance, promouvoir le vélo accessible à tous, expérimenter la simplicité volontaire et l'autogestion au quotidien... Nous relayons leur programme.
L'AlterTour ? C'est une joyeuse bande de citoyens qui part à la (...)

- ça bouge ! / ,

« Si la liberté des femmes n'a cessé d'être contestée, c'est qu'elle entraîne toutes les autres »

L'Histoire, telle que racontée depuis le 19ème siècle, est une succession logique d'événements, d'où émergent des héros, et dont sont exclus les dominés — femmes, esclaves, travailleurs. À rebours de cette Histoire taillée sur mesure par et pour les dominants, Michèle Riot-Sarcey, historienne du politique et du féminisme, propose un autre regard. Dans son dernier ouvrage, Le procès de la liberté, elle redonne vie aux expériences ouvrières et aux révolutions sociales du 19ème siècle, et révèle la puissance (...)

- Résister / , , , , , , , ,

Les conférences d’utopia à partir de septembre 2018

Voir le programme des conférences Utopia de septembre à décembre 2018

Si vous n’êtes pas encore dans la liste de diffusion et que souhaitez recevoir une invitation, écrivez à contact@mouvementutopia.org

L’article Les conférences d’utopia à partir de septembre 2018 est apparu en premier sur mouvement utopia.

Tor est pour tout le monde

Tribune de Lunar, membre de La Quadrature du Net

Il y a quelques mois, Nos oignons, une association qui participe au réseau Tor, a une nouvelle fois été contactée par un·e journaliste qui souhaitait « expliquer aux lecteurs comment on va dans le web profond (via Tor) et quel intérêt il y aurait à y aller, en oubliant tous les sites “dark” de type ventes d’armes ». Mais après quelques échanges, le sujet semble finalement difficile à vendre à la direction : « À ce stade nous manquons franchement d’arguments, au point que je me demande si l’article va finalement sortir. » À notre connaissance l’article n’est finalement jamais sorti.

Ce manque d’« arguments » nous semble provenir d’une erreur fondamentale de compréhension : l’usage de Tor (ou des sites .onion) n’est pas différent de l’usage du web et d’Internet en général. Si Internet est pour tout le monde, Tor l’est tout autant.

Sur Internet, on lit la presse. Pourtant, l’expérience est différente de celle de lire de la presse sur papier. Une personne qui attrape la dernière édition d’un quotidien sur le comptoir d’un café n’informe pas l’équipe du journal qu’elle vient de gagner en audience. Elle ne les prévient pas non plus être dans un café, ni du nom du café, ni de quelles pages elle a lu, ni de combien de temps elle a pu passer sur chacun des articles…

Or, si cette même personne se rend sur le site web du journal, alors il pourra au moins connaître la connexion utilisée, quelles pages ont été lues et pendant combien de temps. Mais ces informations ne sont pas uniquement accessibles au journal : la régie publicitaire en apprendra autant, tout comme Google qui fournit les polices de caractères, Facebook avec son bouton «  Like », Twitter pour son bouton « Tweet », pour ne citer que les plus courants.

Alors soyons clair : qu’il soit en papier ou en ligne, quand on lit un journal, on ne s’attend pas à ce qu’il nous lise en retour…

Lorsqu’on remplace Firefox ou Chrome par le navigateur Tor, on rend beaucoup plus difficile cette collecte d’information contre notre gré. On retrouve un Internet conforme à nos attentes.

Voir Tor principalement comme un outil pour l’anonymat ou le contournement de la censure, c’est penser son usage comme nécessairement marginal. Alors qu’au contraire, Tor constitue un pas vers un Internet davantage conforme aux intuitions les plus courantes sur son fonctionnement.

Le temps où Internet était réservé aux personnes ayant un bagage en science informatique est terminé. La plupart des internautes ne peuvent pas faire un choix informé sur les données et les traces enregistrées et partagées par les ordinateurs impliqués dans leur communications. Même les personnes qui développent des applications ont parfois bien du mal à mesurer l’étendue des données que fuitent les outils qu’elles conçoivent ! Utiliser le navigateur Tor permet justement de limiter les informations que nous communiquons à des tiers sans en avoir explicitement l’intention.

Maîtriser les informations que nous partageons lors de nos communications ne devrait pas être réservé à une élite. Voilà pourquoi Tor se destine au plus grand nombre.

Nos oignons contribue modestement au fonctionnement du réseau Tor en faisant fonctionner des relais en France. L’association démarre aujourd’hui une nouvelle campagne de financement afin de récolter les 12 000 € nécessaires pour fonctionner une année supplémentaire. La Quadrature du Net, qui veille à ce que l'usage de tels outils reste autorisé en France et en Europe, relaye donc cet appel. Soutenons Nos Oignons, ainsi que le projet Tor qui développe les logiciels.

Fichier attachéTaille
twitter-instream-campagne-2018_nosoignons.png192.88 Ko

Université d'été des mouvements sociaux et citoyens : débattre, se former et agir

C'est le campus de Grenoble qui accueillera cette année l'Université d'été des mouvements sociaux et citoyens du 22 au 26 août. Cet événement sera un moment important de rencontres, de formation, de débats, de construction d'initiatives communes et d'actions concrètes, ainsi qu'un temps convivial et festif pour toutes celles et tous ceux qui partagent des valeurs communes de solidarité, de partage et de bien vivre. Partenaire de l'événement, Basta ! animera et interviendra dans plusieurs ateliers. Nous (...)

- ça bouge ! / ,