Wiko lève les réserves qu’on exprimait la semaine dernière en matière de collecte de données, en supprimant des fonctions qu’il n’avait pas prévu de supprimer initialement, et surtout en permettant à l’utilisateur de renoncer, ce qui n’était pas encore prévu non plus.
Le lanceur d’alerte surnommé Elliot Alderson (toujours lui !) accusait la semaine dernière Wiko de collecter des données personnelles sans le consentement de l’utilisateur. Nous publiions les jours suivants les positions officielles de Wiko, qui se défendait d’espionner ses clients puis annonçait des mesures. Elles ne nous semblaient toutefois pas conformes à l’interprétation que fait habituellement la Cnil de la législation française et européenne.
Dont acte : une semaine plus tard, Wiko a revu sa copie. Le fabricant nous a effectivement transmis jeudi un plan d’action concernant son programme STS, dans lequel il clarifie davantage les données qu’il collecte et l’utilisation qu’il en fait, et dans lequel il prend des mesures plus sérieuses.
Wiko ne géolocalise pas ses clients
Pour commencer, après avoir affirmé qu’« il n’y avait pas de géolocalisation de l’appareil », Wiko reconnait que son programme de suivi des ventes (STS pour Sales Tracking System) transmettait l’identifiant du relais téléphonique auquel ses téléphones étaient connectés lorsqu’ils étaient activés, mais il assure qu’il n’a jamais exploité cette donnée.
L’objectif était d’identifier avec « une plus grande précision » lorsqu’un téléphone destiné à un pays aboutissait dans un autre, ou lorsqu’un grossiste international répartissait ses unités dans plusieurs pays. Wiko comptait pour ce faire confronter un indicatif interne (exemple : numéro 600 pour Wiko France) ainsi que le numéro IMEI (tel lot vendu à tel revendeur) à la localisation de l’utilisateur final. Ce afin de savoir où communiquer en cas de rappel, et on suppose aussi pour lutter contre le marché gris.
Wiko assure qu’il se passe de localisation effective. Levant toute suspicion ou crainte de piratage, le fabricant annonce qu’une prochaine mise à jour supprimera cette fonction.
Les données davantage sécurisées
Par ailleurs, la filiale du groupe chinois Tinno sécurisera davantage l’envoi des données. Wiko précise qu’elles étaient transmises à Hong Kong jusqu’à l’été 2016, puis en Allemagne jusqu’à maintenant.
La prochaine mise à jour généralisera l’envoi vers ce serveur européen. De plus, la transmission sera intégralement chiffrée, « conformément à la législation » comme le note le fabricant. Les données étaient jusqu’alors chiffrées avec l’algorithme RSA puis transmises en HTTP. Elles emprunteront dorénavant « une connexion sécurisée via SSL » (HTTPS).
Wiko respectera bientôt la législation
Last but not least, Wiko demandera finalement le consentement de l’utilisateur.
Jusqu’à la semaine dernière, le fabricant estimait qu’il ne collectait que « des données d’ordre technique » et qu’il n’était pas tenu de demander la permission de l’utilisateur. Nous confrontions cette position à l’interprétation différente que fait la Cnil de la législation française et européenne, qui estime d’une part que l’IMEI est une donnée personnelle, et d’autre part que la collecte n’est pas strictement nécessaire au fonctionnement de l’appareil. Deux conditions dans lesquelles les lois françaises et européennes, respectivement, exigent le consentement de l’utilisateur.
La marque a révisé la législation : son plan d’action corrigé prévoit de « subordonner la collecte et l’envoi des données au consentement préalable de l’utilisateur final », « dans la mesure où la législation l’impose », concède-t-il.
Elle a également « prévu d’améliorer considérablement la clarté et l’exhaustivité de l’information donnée à l’utilisateur final pour les prochaines productions ». L’utilisateur était jusqu’à présent informé que « le numéro IMEI de son smartphone serait collecté, pour la compilation des statistiques d’activation des téléphones mobiles Wiko ».
Concrètement, Wiko diffusera prochainement une mise à jour permettant de désactiver les deux applications STS (celle de Wiko ainsi que celle de Tinno qu’elle remplace). Cette mise à jour sera proposée sous la forme de fichier APK à télécharger sur le site internet de Wiko, puis via l’utilitaire Wiko Phone Assist, et enfin via une mise à jour de firmware OTA. Quand ? « À très court terme, au plus tard d’ici la fin du mois de décembre ».
En somme, Wiko aura comblé en fin d’année son retard sur la législation française et européenne, mais il aura au passage devancé la nouvelle réglementation RGPD (règlement européen sur la protection des données) qui entre en vigueur en mai 2018, avec laquelle il sera totalement en conformité.
Pour aller plus loin
OnePlus répond aux accusations de collecte de données personnelles
Chaque matin, WhatsApp s’anime avec les dernières nouvelles tech. Rejoignez notre canal Frandroid pour ne rien manquer !
Il y en a qui le font beaucoup plus que d'autres, et qui sont plus invasifs. Et pleins d'autres qui au moins respectent la loi
Oui mais bon, déjà que Wiko ne m'apporte rien d'intéressant mais si en plus c'est pour exfiltrer mes données en Chine, non merci ! De plus, j'ai Xposed Framework et ses modules, donc j'ai un meilleur contrôle sur les applis et le système, même si rien n'est garanti à 100%, je peux virer les applis qui me semblent douteuses...
Cocorichinchang couaark!
Il faut être bien naïf pour croire que seul Wiko s'amuse à ça....
Mais quels seront les appareils mis à jour ? Tous ceux de la marque vendus depuis cette année ? Depuis deux ans ? Ceux à plus de 100 euros ?
Bien heureux de n'avoir jamais acheté de Wiko !!!
Ceci dit Wiko n'a tout simplement pas le choix sinon il risque 20 millions € ou 4% de son chiffre d'affaire "groupe" s'il ne respecte pas le RGPD (contrairement au temps de la CNIL ou les amandes étaient ridicules mais là la CNIL pourra placer la barre bien plus haute). Quant au RGPD, Wiko "France" est obligé de s'y plier que les données soient traitées en Europe ou hors Europe (Chapitre IV Articles 26 - 27 - 28 plus particulièrement) et le RGPD est aussi très clair quand à ce qu'ils peuvent collecter (Chapitre III Article 5 paragraphe b) : Les données doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités. En clair il s'agit de réduire le nombre et le type de données recueillies au strict minimum pour le finalité du Traitement et le Responsable de Traitement doit pouvoir justifier de la nécessité de chacune des données. De plus Wiko a aussi l'obligation de demander l'accord express et éclairé de l'utilisateur et obtenir cet accord par une action volontaire comme une boite à cocher par exemple. Il a aussi l'obligation dans cet accord de préciser les coordonnées du contact pour effectuer toute demande d'accés/rectification/suppression à ses données (ça sa change pas on avait déjà ça avec la Informatique et Libertés).
Donc cest frandroid qui raconte n'importe quoi ?? vous avez pas touché un chèque.?.... pas de ma part bien sûr lol ?
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix