Tout commence par Décathlon
Je découvre en août un message Twitter qui parle de partage de données par Décathlon à un hub de données nommé Valiuz, et tout ça n’a pas l’air neuf.
Suite à ma requête, Décathlon m’informe que mes données n’ont jamais été partagées et que c’est une anomalie d’affichage.
Note : Je pars de là mais Décathlon a été propre du début à la fin des échanges et, pour peu qu’on croit effectivement à la réponse de l’erreur d’affichage, je n’ai strictement rien à leur reprocher.
Valiuz
Par contre j’ai poussé avec Valiuz.
Valiuz regroupe quasiment toutes les enseignes du groupe Muliez (Decathlon, Auchan, Kiabi, Boulanger, Leroy Merlin, Boulanger, Norauto, etc.). Le but est (je cite) « de mettre en commun avec un groupe d’enseignes les informations vous concernant ».
La page « comment ça fonctionne » laisse peu de doutes : Ils analysent les données personnelles de plusieurs enseignes et en tirent de nouvelles informations personnelles, qu’ils repartagent aux différentes enseignes dont je suis client.
À partir de mon compte Kiabi ils peuvent savoir que j’ai un fils, et le partager à Décathlon. À partir de mes achats Auchan ils peuvent savoir que j’aime les produits frais et le partager à Boulanger qui voudra me vendre des produits de cuisine.
À partir de mes achats chez LeroyMerlin ils peuvent informer Norauto que je suis quelqu’un qui fait ses achats le samedi en passant dans les magasins plutôt que par le web.
À partir des adresses de mes livraisons, de mon compte utilisateur ou de mes magasins Jules, ils peuvent dire à Electro Dépôt que j’ai déménagé.
Données personnelles
Bref, Valiuz, à son compte ou en tant que sous-traitant (on y reviendra), traite des données personnelles détaillées de provenance multiple, les recoupe, détermine des informations personnelles nouvelles qu’il va repartager à différentes enseignes.
Valiuz joue ici le rôle du hub centralisateur pour les données.
Leur page « données personnelles » indique qu’ils croisent ainsi les données personnelles des différents acteurs dont sexe, âge et localisation, les historiques d’achat, des éventuels pistages publicitaires obtenus via le web ou le mobile si vous acceptez les cookies, mais aussi des données tierces accessibles en ligne et des bases de données de tiers.
Ce n’est pas rien, et étonnamment, la grande majorité se fait sans consentement préalable.
Absence de consentement préalable
Si Décathlon me répond que l’activation par défaut de Valiuz dans mon profil utilisateur est une anomalie d’affichage, Norauto informe eux que l’utilisation de Valiuz relève de leur intérêt légitime, et n’est donc soumis à aucun consentement préalable. De fait, ils ont en effet transmis à Valiuz tout mon historique d’achat.
De manière très étonnante, autant Valiuz que Norauto invoquent l’intérêt légitime des tiers comme raison du partage des données vers les autres membres de l’alliance.
Pour information, ce partage basé sur l’intérêt légitime des membres de l’Alliance, ne concerne que les membres qui vous connaissent déjà et pour lesquels vous ne vous êtes pas opposés.
Déclaration Norauto
S’agissant de la base légale des traitements de données mis en oeuvre par Valiuz pour le compte des entreprises partenaires, celle-ci repose:
Déclaration de Valiuz
– sur l’intérêt légitime de chaque entreprise de comprendre les attentes de ses clients, de mettre à jour leurs données, et d’améliorer la pertinence des communications qu’elle peut leur adresser.
Le paravent de la pseudonymisation
La première ligne de défense est d’essayer de dire que les données sont partagées sous forme de pseudonyme [et que donc ça n’est pas bien grave].
Votre adresse email, adresse postale ou encore votre numéro de téléphone sont transformés pour ne pas être compréhensibles (prenom.nom@mail.com deviennent 1a2b3c4d5e6f7…) et servent uniquement à regrouper les informations correspondant à un même client, de façon automatique.
Ces informations ne sont jamais transmises à nos partenaires, qui vous contacteront donc uniquement si vous leur avez fourni vos coordonnées et donné votre accord pour être contacté(e).
Valiuz, page « mes droits »
NORAUTO partage à VALIUZ des données pseudonymisées
Norauto, charte sur les cookies et les données Personnelles
[…]
Les données traitées par VALIUZ sont chiffrées de sorte que VALIUZ n’est pas en mesure de vous identifier directement avec ces données (données “pseudonymisées”).
Malheureusement ça ne protège de rien du tout.
Déjà parce que les données sont assez complètes (localisation, âge, enfants, historique d’achat complet, et ça croisé entre plus de 20 enseignes en ligne et en physique) mais aussi parce que l’identifiant est un identifiant unique partagé justement fait pour lier les données des différentes enseignes entre elles.
servent uniquement à regrouper les informations correspondant à un même client
Valiuz, page « mes droits »
afin que ces dernières soient analysées par VALIUZ après mise en commun de ces données avec celles fournies par les membres de l’alliance
Norauto, charte sur les cookies et les données Personnelles
On a un joli paravent mais mais cette pseudonymisation n’empêche ni le croisement des données ni l’identification (on passera sur la confusion entre chiffrement et pseudonymisation dans les informations de Norauto).
Pire ! Vu qu’il s’agit ensuite de récupérer des informations personnelles (adresse obsolète, habitudes d’achat), cet identifiant est explicitement fait pour permettre une ré-identification par les destinataires, et ne rien masquer.
Bref, données personnelles en entrée, données personnelles en traitement, données personnelles en sortie, fait pour être des données identifiantes par tous les acteurs qui les utilisent réellement.
Paravent de la sous-traitance
J’ai envoyé une demande d’information à Valiuz. Pour eux, sauf pour ce qui concerne le cookie publicitaire, ils ne sont que sous-traitant des différentes enseignes. Ils ne réalisent aucun traitement à leur propre compte.
Valiuz agit en qualité de sous-traitant de ses différents clients (entreprises partenaires)
Déclaration Valiuz
Valiuz agit en qualité de sous-traitant de Norauto
Déclaration de Norauto
Tous insistent que les données sources ne sont pas partagées à d’autres acteurs, ni même entre membres de l’alliance
Nous attirons votre attention sur le fait que ces données ne sont pas transmises ou rendues accessibles aux entreprises partenaires de Valiuz, ni à d’autres tiers.
Déclaration de Valiuz
[…]
Seule Valiuz a accès à l’ensemble des données transmises par ses entreprises partenaires. Concrètement, cela signifie par exemple que l’enseigne X n’a pas connaissance de vos données d’achat ou navigation internet au sein de l’enseigne Y et vice versa.
Seul Valiuz a accès à l’ensemble des données transmises par Norauto.
Déclaration de Norauto
Moi je veux bien mais du coup, comment les traitements mentionnés plus haut sont-ils possibles ?
Soit c’est Valiuz qui est responsable de traitement. Dans ce cas il y a de leur part des fausses déclarations de sous-traitance, un traitement non déclaré sans consentement, et un partage d’information personnelles ensuite aux différentes enseignes. Du point de vue des enseignes il y a aussi de fausses déclarations de sous-traitance, un partage de données personnelles à un tiers sans consentement, et une collecte de données personnelles sans consentement en retour.
Soit c’est bien chaque enseigne qui est responsable de traitement, Valiuz n’est qu’un sous-traitant. Comme il y a explicitement croisement entre les données des différentes enseignes, chaque enseigne est responsable de son traitement, pour lequel elle accède à son compte à l’ensemble des données des autres enseignes. Il y a alors fausses déclarations sur le fait que les données ne sont pas partagées aux autres enseignes, et partage sans consentement de données détaillées.
Valiuz et l’alliance cherchent à noyer le poisson en jouant sur les deux tableaux avec un saupoudrage de pseudonymisation au milieu mais en réalité ça ne tient pas, dans aucun des cas.
La suite, la plainte
Je vais poser mon dossier à la CNIL, avec l’ensemble des pièces. Outre les délais, ça va demander que la CNIL cherche réellement à comprendre et ne s’arrête pas sur les déclarations de surface de Valiuz et des différentes enseignes.
Mon historique avec la CNIL ne me rend pas super optimiste si je suis seul à poser un dossier. Pour avoir toutes les chances que ça bouge, il faudrait un effet de masse.
Et vous ?
Vous pouvez signaler votre opposition au traitement auprès de Valiuz et des différentes enseignes.
Si vous voulez que ça bouge, je vous recommande cependant d’abord de faire des requêtes d’information au titre du RGPD puis de porter plainte auprès de la CNIL (ça se fait facilement en ligne).
Pour ça je vous recommande de NE PAS faire opposition auprès de Valiuz ou auprès des différentes enseignes avant obtention par écrit de toutes les informations que vous souhaitez et qui vous permettront de porter plainte, pour éviter qu’ils ne puissent vous dire « je n’ai plus rien sur vous ».
Ça veut dire :
- Demander à chaque enseigne si elle a transmis des données vous concernant à Valiuz
- … le cas échéant la liste exhaustive de ce qui a pu être échangé à destination de Valiuz ou des autres enseignes partenaires et en provenance de Valiuz ou des autres enseignes partenaires
- … sous quel régime cette transmission a pu être faite (intérêt légitime, consentement préalable, etc.) et le cas échéant la preuve de votre consentement
- … si pour les différents traitements décrits sur https://valiuz.com/comment-ca-fonctionne/ , l’enseigne est seule responsable de traitement avec Valiuz en sous-traitant, ou si Valiuz et l’enseigne sont co-responsables de traitement, ou si Valiuz est le responsable de traitement au sens du RGPD
- … dans le cas où Valiuz n’est que sous-traitant, les croisements nécessaires aux traitements décrits et pour lesquels l’enseigne est seule responsable nécessitant l’accès aux données des autres partenaires, c’est l’enseigne qui doit donc avoir légalement accès à ces données et pas uniquement Valiuz, demander sous quel régime ces données ont-elles été obtenues
- … de faire suivre à Valiuz une demande d’accès pour l’ensemble des données détenues vous concernant
Puis
- Demander à Valiuz les mêmes informations 1 à 6, en reformulant pour inverser la situation.
Je ne fais pas de brouillon a recopier, ça aura surtout du sens si ça vient de vous. Je peux aider (et probablement d’autres en commentaires) si vous avez des questions.
Si d’aventure vous n’obtenez pas les mêmes réponses que moi, faites-moi signe. Ça sera intéressant.
La liste des contacts est la suivante (à contacter séparément mais si vous formulez bien votre demande vous pouvez faire un copier/coller pour toutes les enseignes et n’avoir une version spécifique que pour VALIUZ eux-même) :
VALIUZ mesdroits@valiuz.com
AUCHAN dpo@auchan.fr
LEROY MERLIN dpo@leroymerlin.fr
BOULANGER cil@boulanger.com
ELECTRO DEPOT dpo@electrodepot.fr
JULES dpo@happychicgroup.com
BIZZBEE dpo@happychicgroup.com
ROUGE GORGE relation.client@rougegorge.com
GRAIN DE MALICE contact@graindemalice.fr
ONEY donnees-personnelles@oney.fr
NORAUTO vosdonneespersonnelles@norauto.fr
KIABI dataprotectionofficer@kiabi.com
SAINT MACLOU contact-dpo@saint-maclou.com
TAPE A L’OEIL mesdonneespersonnelles@t-a-o.com
TOP OFFICE dpo@top-office.com
FLUNCH contact.cnil@flunch.fr
3BRASSEURS contact.cnil@les3brasseurs.com
NHOOD (Aushopping) dpo@nhood.com
DECATHLON https://www.decathlon.fr/help/app/ask/cat_id/920
PIMKIE dpo@pimkie.com
CHRONODRIVE clients@chronodrive.com
ALINEA donnees-personnelles@alinea.com
Laisser un commentaire