Cet été, la Cnil n’a pas pris de vacances
Le gendarme des données personnelles n’a pas chômé durant l’été. D’abord avec la mise en demeure de Teemo et Fidzup. Ces deux sociétés permettent à des éditeurs de monétiser leurs applications mobiles en y intégrant leurs SDK. Ces derniers collectent diverses données : identifiants publicitaires du mobile, adresses MAC et données de géolocalisation. Lesquelles sont ensuite utilisées pour cibler de la publicité. Rien d’illégal dans la pratique, mais encore aurait- il fallu correctement informer l’utilisateur et recueillir son consentement éclairé. Dans le cas de Teemo, les utilisateurs ne sont pas informés lors du téléchargement d’une « application partenaire » qu’un SDK y est niché. Quant à Fidzup, l’utilisateur n’est informé « ni de la finalité de ciblage publicitaire du traitement mis en oeuvre, ni de l’identité du responsable de ce traitement » . Ajoutons à cela qu’il n’est pas possible de télécharger les applications en question sans ce SDK. Et si les applications, à l’instar de celles du Figaro ou de Closer, demandent bel et bien le consentement au traitement des données, cela ne concerne que l’éditeur et l’utilisation de ces données par l’application, et non par un tiers. Enfin, Teemo conserve les données collectées pendant 13 mois, ce qui est bien trop long au regard de la finalité du traitement, selon la Cnil. Les deux entreprises sont donc instamment priées de se mettre en conformité avec la loi. Dailymotion, pour sa part, écope d’une amende de 50 000 euros suite à la fuite de données que la plate- forme avait connue en 2016 : 83 millions de comptes avaient été compromis. La Cnil a mené son enquête et a déterminé que l’entreprise n’avait pas suffisamment sécurisé les accès à son système d’information. À l’origine de cette attaque, une vulnérabilité dans le code source de Dailymotion publié sur GitHub, à savoir la présence en clair des identifiants et mots de passe d’un compte admin de la base de données de la plateforme. D’autant que le site autorisait les accès externe à son réseau interne, de sorte à permettre aux partenaires de Dailymotion de modifier ou supprimer du contenu. Une nouvelle faille exploitée pour dérober les données de la plateforme, dont le manque de sécurisation méconnaît la loi et lui vaut cette amende. Fin juin, c’est l’Adef, une association d’aide au logement, qui a été condamnée là encore pour défaut de sécurisation des données personnelles des demandeurs. Une fois n’est pas coutume, leurs informations ( avis d’imposition, passeports, cartes d’identité, titres de séjour, bulletins de salaires, attestations de paiement de la CAF… 42 652 documents en tout) étaient librement accessibles sur Internet, en modifiant simplement le chemin de l’URL, sans qu’aucune authentification soit demandé. Il en coûtera 75 000 euros à l’association. Toujours dans le domaine du logement, l’Office public de l’habitat ( OPH) de Rennes a lui aussi été épinglé par la Cnil. En cause, une utilisation du fichier des locataires de logements sociaux de l’OPH dans une finalité non prévue lors de la collecte des données. À savoir l’envoi d’un courrier fustigeant la baisse des APL, courrier qui ne relève pas de la mission d’information de l’OPH. « L’utilisation des données personnelles issues du fichier des locataires de l’OPH pour adresser ce courrier était incompatible avec la finalité initiale de la collecte de ces données » , écrit la Cnil, avant d’énoncer le verdict : une douloureuse de quelque 30 000 euros.