Affaire Wiko : les mesures du fabricant, insuffisantes pour la Cnil

 
Aux lendemains d’une alerte à la collecte de données sur certains téléphones Wiko, la marque française fait amende honorable et annonce les mesures qu’elle va prendre.

Nous relayions lundi la découverte par un chercheur en sécurité d’une application, installée sur certains smartphones Wiko, transmettant tous les mois des données à Tinno, la maison mère chinoise de la marque, sans le consentement de l’utilisateur.

Wiko avait apporté une réponse officielle, que nous reproduisons de nouveau ci-contre, qui ne répondait pas à toutes les interrogations. Nous avons donc échangé ces deux derniers jours avec un représentant de la marque, qui nous a apporté des précisions et a annoncé des mesures.

La déclaration officielle

Pour commencer, reproduisons la déclaration que Wiko a livrée aux médias lundi après-midi et publiée sur son site internet :

Wiko est une entreprise responsable qui a toujours placé ses clients au centre de ses préoccupations. Les smartphones Wiko sont équipés de l’application STS (Sales Tracking System) dont la finalité est d’établir des statistiques de ventes et de durée de vie des produits. Les données collectées par le système STS sont des données d’ordre technique, notamment le numéro IMEI, le numéro de série, le nom du modèle du téléphone, la version du système d’exploitation Android. L’activation se fait au premier allumage, et chaque mois, exclusivement via une connexion Internet, et jamais par SMS. Aucune donnée relative à l’utilisateur, à l’utilisation du smartphone ou des applications n’est collectée.

Wiko prend les questions relatives aux données personnelles très au sérieux et a volontairement initié en 2017 un audit de l’ensemble des traitements de données personnelles dont elle est responsable. Cet audit a été réalisé par le cabinet spécialisé CIL Consulting by TNP. Wiko a toujours eu la volonté de traiter les données clients en conformité avec la règlementation, et se prépare depuis plusieurs mois à l’entrée en vigueur du RGPD au mois de mai 2018.

La collecte fonctionnera malgré tout

Cette déclaration ne nous avait pas totalement satisfaits, nous avions donc fait part de nos réserves au porte-parole de Wiko, qui nous a finalement répondu mercredi.

Nous nous émouvions notamment que Wiko collecte des données même si l’utilisateur avait désactivé les « Services Wiko ». Pour rappel, l’utilisateur est invité au premier démarrage à accepter ou non les « Services Wiko », qui incluent la « collecte de données anonymes ». Un utilisateur qui n’accepte pas ces services estime donc légitimement que son téléphone ne transmet pas de données à Wiko.

Wiko assume pourtant que les Services Wiko et le système de suivi des ventes soient décorrélés. Il n’a pas prévu de clarifier la situation lors du premier démarrage.

Bientôt un STS français à la place du STS chinois

Quoi qu’il en soit, Wiko va revoir et assagir son système de suivi des ventes (Sales Tracking System). La marque affirme qu’elle était justement en discussion avec sa maison mère pour remplacer le STS.

D’ici la fin de l’année, le STS de Tinno ne sera plus utilisé, sans qu’on sache encore s’il sera complètement désinstallé ou s’il sera seulement désactivé. Il sera remplacé par un nouveau STS développé par Wiko. Celui-ci ne transmettra plus que le modèle de téléphone, la version du logiciel, le pays d’utilisation et… le numéro IMEI. Il ne le fera qu’une fois lors du premier démarrage du téléphone, et plus tous les mois.

Wiko retirera, à une date encore inconnue, les autorisations permettant d’échanger des SMS et de localiser l’utilisateur. Le fabricant réaffirme qu’il n’a jamais recouru à ces autorisations, mais dans ces conditions on ne peut que le croire sur parole, seul le retrait des autorisations lèvera toute suspicion.

La marque insiste par ailleurs sur le fait que, contrairement à ce qu’affirmait le chercheur en sécurité, les données n’étaient pas envoyées en clair jusqu’en Chine, et susceptibles d’être interceptées sur leur route. Elles étaient transmises en Europe, plus précisément en Allemagne, et bien qu’elles étaient transmises en HTTP (plutôt qu’en HTTPS), elles étaient néanmoins chiffrées. Elles le resteront.

Quels modèles sont concernés ?

Nous avons demandé à Wiko de nous fournir la liste complète des téléphones qui embarquent le STS de Tinno. Le constructeur nous a simplement répondu que « les téléphones produits à partir d’octobre 2016 » en sont équipés. Nous ne sommes malheureusement pas en mesure de les lister nous-même. On peut néanmoins penser que les modèles les plus convoités, tels que les WIM, les View, les U Feel et les derniers modèles de la série Y (Lenny 4, Tommy 2…) sont concernés.

Le STS de Wiko « se substituera » donc à celui de Tinno, d’ici la fin du mois de décembre, sur chacun de ces modèles.

Crédit : Martin Rechsteiner

Wiko ne respecterait pas ses obligations

Reste la question du consentement de l’utilisateur.

Wiko explique que l’application STS vise seulement à « établir des statistiques de ventes et de durée de vie de ses produits », qu’il ne collecte à cet effet que des « données d’ordre technique », pour lesquelles il n’est pas tenu de demander la permission à l’utilisateur.

Mais qu’en est-il de l’IMEI (international mobile equipment identity, littéralement identité internationale d’équipement mobile), un identifiant unique à chaque smartphone ?

« Le numéro IMEI n’est pas une donnée personnelle pour Wiko, » répond le constructeur, « qui ne peut en aucun cas faire le rapprochement entre l’IMEI d’un téléphone et l’identité de l’utilisateur, » du moins « en dehors du traitement d’un appareil dans le cadre du service client ».

Pour la Cnil, l’IMEI est un identifiant technique unique se rapportant à une personne physique identifiée ou identifiable, et constitue donc une donnée personnelle. Wiko ne suit pas les recommandations de la Cnil, qui préconise d’informer l’utilisateur et de recueillir son consentement préalable. Wiko répond que l’utilisateur est informé… quelque part dans l’interminable Politique de confidentialité qu’il reconnait avoir lu au premier démarrage.

Le constructeur a en revanche l’obligation de proposer un opt-out, c’est-à-dire qu’il peut collecter des données sans consentement, mais qu’il doit permettre d’y renoncer.

Enfin, la réglementation européenne ePrivacy exige quant à elle le consentement si les données collectées ne sont pas strictement nécessaires au fonctionnement de l’appareil.

À vous de juger !

Pour aller plus loin
Qui se cache derrière Wiko ?


Rejoignez-nous de 17 à 19h, un jeudi sur deux, pour l’émission UNLOCK produite par Frandroid et Numerama ! Actus tech, interviews, astuces et analyses… On se retrouve en direct sur Twitch ou en rediffusion sur YouTube !

Les derniers articles