Affaire Wiko, suite et fin : le fabricant présente un plan d’action corrigé, suite à l’annonce la semaine dernière de mesures qui nous semblaient insuffisantes.

Wiko lève les réserves qu’on exprimait la semaine dernière en matière de collecte de données, en supprimant des fonctions qu’il n’avait pas prévu de supprimer initialement, et surtout en permettant à l’utilisateur de renoncer, ce qui n’était pas encore prévu non plus.

Le lanceur d’alerte surnommé Elliot Alderson (toujours lui !) accusait la semaine dernière Wiko de collecter des données personnelles sans le consentement de l’utilisateur. Nous publiions les jours suivants les positions officielles de Wiko, qui se défendait d’espionner ses clients puis annonçait des mesures. Elles ne nous semblaient toutefois pas conformes à l’interprétation que fait habituellement la Cnil de la législation française et européenne.

Dont acte : une semaine plus tard, Wiko a revu sa copie. Le fabricant nous a effectivement transmis jeudi un plan d’action concernant son programme STS, dans lequel il clarifie davantage les données qu’il collecte et l’utilisation qu’il en fait, et dans lequel il prend des mesures plus sérieuses.

Wiko ne géolocalise pas ses clients

Pour commencer, après avoir affirmé qu’« il n’y avait pas de géolocalisation de l’appareil », Wiko reconnait que son programme de suivi des ventes (STS pour Sales Tracking System) transmettait l’identifiant du relais téléphonique auquel ses téléphones étaient connectés lorsqu’ils étaient activés, mais il assure qu’il n’a jamais exploité cette donnée.

L’objectif était d’identifier avec « une plus grande précision » lorsqu’un téléphone destiné à un pays aboutissait dans un autre, ou lorsqu’un grossiste international répartissait ses unités dans plusieurs pays. Wiko comptait pour ce faire confronter un indicatif interne (exemple : numéro 600 pour Wiko France) ainsi que le numéro IMEI (tel lot vendu à tel revendeur) à la localisation de l’utilisateur final. Ce afin de savoir où communiquer en cas de rappel, et on suppose aussi pour lutter contre le marché gris.

Wiko assure qu’il se passe de localisation effective. Levant toute suspicion ou crainte de piratage, le fabricant annonce qu’une prochaine mise à jour supprimera cette fonction.

Les données davantage sécurisées

Par ailleurs, la filiale du groupe chinois Tinno sécurisera davantage l’envoi des données. Wiko précise qu’elles étaient transmises à Hong Kong jusqu’à l’été 2016, puis en Allemagne jusqu’à maintenant.

La prochaine mise à jour généralisera l’envoi vers ce serveur européen. De plus, la transmission sera intégralement chiffrée, « conformément à la législation » comme le note le fabricant. Les données étaient jusqu’alors chiffrées avec l’algorithme RSA puis transmises en HTTP. Elles emprunteront dorénavant « une connexion sécurisée via SSL » (HTTPS).

Wiko respectera bientôt la législation

Last but not least, Wiko demandera finalement le consentement de l’utilisateur.

Jusqu’à la semaine dernière, le fabricant estimait qu’il ne collectait que « des données d’ordre technique » et qu’il n’était pas tenu de demander la permission de l’utilisateur. Nous confrontions cette position à l’interprétation différente que fait la Cnil de la législation française et européenne, qui estime d’une part que l’IMEI est une donnée personnelle, et d’autre part que la collecte n’est pas strictement nécessaire au fonctionnement de l’appareil. Deux conditions dans lesquelles les lois françaises et européennes, respectivement, exigent le consentement de l’utilisateur.

La marque a révisé la législation : son plan d’action corrigé prévoit de « subordonner la collecte et l’envoi des données au consentement préalable de l’utilisateur final », « dans la mesure où la législation l’impose », concède-t-il.

Elle a également « prévu d’améliorer considérablement la clarté et l’exhaustivité de l’information donnée à l’utilisateur final pour les prochaines productions ». L’utilisateur était jusqu’à présent informé que « le numéro IMEI de son smartphone serait collecté, pour la compilation des statistiques d’activation des téléphones mobiles Wiko ».

Concrètement, Wiko diffusera prochainement une mise à jour permettant de désactiver les deux applications STS (celle de Wiko ainsi que celle de Tinno qu’elle remplace). Cette mise à jour sera proposée sous la forme de fichier APK à télécharger sur le site internet de Wiko, puis via l’utilitaire Wiko Phone Assist, et enfin via une mise à jour de firmware OTA. Quand ? « À très court terme, au plus tard d’ici la fin du mois de décembre ».

En somme, Wiko aura comblé en fin d’année son retard sur la législation française et européenne, mais il aura au passage devancé la nouvelle réglementation RGPD (règlement européen sur la protection des données) qui entre en vigueur en mai 2018, avec laquelle il sera totalement en conformité.

À lire sur FrAndroid : OnePlus répond aux accusations de collecte de données personnelles