Valiuz et données person­nelles


Tout commence par Décath­lon

Dans les paramètres de mon compte, "Utilisation des données", je découvre "Valiuz", pour "Enrichir mon compte Decathlon par mes interactions avec les autres enseigne de l'alliance Valiuz (et réciproquement)"

Mauvaise surprise, le partage de données est pré-coché (quid du RGPD ?). Decathlon se permet donc de mettre en commun vos données personnelles avec d'autres enseignes dont Auchan, Boulanger, Kiabi, LeroyMerlin ou Norauto

Je découvre en août un message Twit­ter qui parle de partage de données par Décath­lon à un hub de données nommé Valiuz, et tout ça n’a pas l’air neuf.

Suite à ma requête, Décath­lon m’in­forme que mes données n’ont jamais été parta­gées et que c’est une anoma­lie d’af­fi­chage.

Note : Je pars de là mais Décath­lon a été propre du début à la fin des échanges et, pour peu qu’on croit effec­ti­ve­ment à la réponse de l’er­reur d’af­fi­chage, je n’ai stric­te­ment rien à leur repro­cher.


Valiuz

Par contre j’ai poussé avec Valiuz.

Valiuz regroupe quasi­ment toutes les enseignes du groupe Muliez (Decath­lon, Auchan, Kiabi, Boulan­ger, Leroy Merlin, Boulan­ger, Norauto, etc.). Le but est (je cite) « de mettre en commun avec un groupe d’en­seignes les infor­ma­tions vous concer­nant ».

La page « comment ça fonc­tionne » laisse peu de doutes : Ils analysent les données person­nelles de plusieurs enseignes et en tirent de nouvelles infor­ma­tions person­nelles, qu’ils repar­tagent aux diffé­rentes enseignes dont je suis client.

À partir de mon compte Kiabi ils peuvent savoir que j’ai un fils, et le parta­ger à Décath­lon. À partir de mes achats Auchan ils peuvent savoir que j’aime les produits frais et le parta­ger à Boulan­ger qui voudra me vendre des produits de cuisine.

À partir de mes achats chez LeroyMer­lin ils peuvent infor­mer Norauto que je suis quelqu’un qui fait ses achats le samedi en passant dans les maga­sins plutôt que par le web.

À partir des adresses de mes livrai­sons, de mon compte utili­sa­teur ou de mes maga­sins Jules, ils peuvent dire à Elec­tro Dépôt que j’ai démé­nagé.


Données person­nelles

Bref, Valiuz, à son compte ou en tant que sous-trai­tant (on y revien­dra), traite des données person­nelles détaillées de prove­nance multiple, les recoupe, déter­mine des infor­ma­tions person­nelles nouvelles qu’il va repar­ta­ger à diffé­rentes enseignes.

Valiuz joue ici le rôle du hub centra­li­sa­teur pour les données.

Leur page « données person­nelles » indique qu’ils croisent ainsi les données person­nelles des diffé­rents acteurs dont sexe, âge et loca­li­sa­tion, les histo­riques d’achat, des éven­tuels pistages publi­ci­taires obte­nus via le web ou le mobile si vous accep­tez les cookies, mais aussi des données tierces acces­sibles en ligne et des bases de données de tiers.

Ce n’est pas rien, et éton­nam­ment, la grande majo­rité se fait sans consen­te­ment préa­lable.


Absence de consen­te­ment préa­lable

Si Décath­lon me répond que l’ac­ti­va­tion par défaut de Valiuz dans mon profil utili­sa­teur est une anoma­lie d’af­fi­chage, Norauto informe eux que l’uti­li­sa­tion de Valiuz relève de leur inté­rêt légi­time, et n’est donc soumis à aucun consen­te­ment préa­lable. De fait, ils ont en effet trans­mis à Valiuz tout mon histo­rique d’achat.

De manière très éton­nante, autant Valiuz que Norauto invoquent l’in­té­rêt légi­time des tiers comme raison du partage des données vers les autres membres de l’al­liance.

Pour infor­ma­tion, ce partage basé sur l’in­té­rêt légi­time des membres de l’Al­liance, ne concerne que les membres qui vous connaissent déjà et pour lesquels vous ne vous êtes pas oppo­sés.

Décla­ra­tion Norauto

S’agis­sant de la base légale des trai­te­ments de données mis en oeuvre par Valiuz pour le compte des entre­prises parte­naires, celle-ci repose:
– sur l’in­té­rêt légi­time de chaque entre­prise de comprendre les attentes de ses clients, de mettre à jour leurs données, et d’amé­lio­rer la perti­nence des commu­ni­ca­tions qu’elle peut leur adres­ser.

Décla­ra­tion de Valiuz

Le paravent de la pseu­do­ny­mi­sa­tion

La première ligne de défense est d’es­sayer de dire que les données sont parta­gées sous forme de pseu­do­nyme [et que donc ça n’est pas bien grave].

Votre adresse email, adresse postale ou encore votre numéro de télé­phone sont trans­for­més pour ne pas être compré­hen­sibles (prenom.nom@­mail.com deviennent 1a2b3c4d5e6f7…) et servent unique­ment à regrou­per les infor­ma­tions corres­pon­dant à un même client, de façon auto­ma­tique.

Ces infor­ma­tions ne sont jamais trans­mises à nos parte­naires, qui vous contac­te­ront donc unique­ment si vous leur avez fourni vos coor­don­nées et donné votre accord pour être contacté(e).

Valiuz, page « mes droits »

NORAUTO partage à VALIUZ des données pseu­do­ny­mi­sées
[…]
Les données trai­tées par VALIUZ sont chif­frées de sorte que VALIUZ n’est pas en mesure de vous iden­ti­fier direc­te­ment avec ces données (données “pseu­do­ny­mi­sées”).

Norauto, charte sur les cookies et les données Person­nelles

Malheu­reu­se­ment ça ne protège de rien du tout.

Déjà parce que les données sont assez complètes (loca­li­sa­tion, âge, enfants, histo­rique d’achat complet, et ça croisé entre plus de 20 enseignes en ligne et en physique) mais aussi parce que l’iden­ti­fiant est un iden­ti­fiant unique partagé juste­ment fait pour lier les données des diffé­rentes enseignes entre elles.

servent unique­ment à regrou­per les infor­ma­tions corres­pon­dant à un même client

Valiuz, page « mes droits »

afin que ces dernières soient analy­sées par VALIUZ après mise en commun de ces données avec celles four­nies par les membres de l’al­liance

Norauto, charte sur les cookies et les données Person­nelles

On a un joli paravent mais mais cette pseu­do­ny­mi­sa­tion n’em­pêche ni le croi­se­ment des données ni l’iden­ti­fi­ca­tion (on passera sur la confu­sion entre chif­fre­ment et pseu­do­ny­mi­sa­tion dans les infor­ma­tions de Norauto).

Pire ! Vu qu’il s’agit ensuite de récu­pé­rer des infor­ma­tions person­nelles (adresse obso­lète, habi­tudes d’achat), cet iden­ti­fiant est expli­ci­te­ment fait pour permettre une ré-iden­ti­fi­ca­tion par les desti­na­taires, et ne rien masquer.

Bref, données person­nelles en entrée, données person­nelles en trai­te­ment, données person­nelles en sortie, fait pour être des données iden­ti­fiantes par tous les acteurs qui les utilisent réel­le­ment.


Paravent de la sous-trai­tance

J’ai envoyé une demande d’in­for­ma­tion à Valiuz. Pour eux, sauf pour ce qui concerne le cookie publi­ci­taire, ils ne sont que sous-trai­tant des diffé­rentes enseignes. Ils ne réalisent aucun trai­te­ment à leur propre compte.

Valiuz agit en qualité de sous-trai­tant de ses diffé­rents clients (entre­prises parte­naires)

Décla­ra­tion Valiuz

Valiuz agit en qualité de sous-trai­tant de Norauto

Décla­ra­tion de Norauto

Tous insistent que les données sources ne sont pas parta­gées à d’autres acteurs, ni même entre membres de l’al­liance

Nous atti­rons votre atten­tion sur le fait que ces données ne sont pas trans­mises ou rendues acces­sibles aux entre­prises parte­naires de Valiuz, ni à d’autres tiers.
[…]
Seule Valiuz a accès à l’en­semble des données trans­mises par ses entre­prises parte­naires. Concrè­te­ment, cela signi­fie par exemple que l’en­seigne X n’a pas connais­sance de vos données d’achat ou navi­ga­tion inter­net au sein de l’en­seigne Y et vice versa.

Décla­ra­tion de Valiuz

Seul Valiuz a accès à l’en­semble des données trans­mises par Norauto.

Décla­ra­tion de Norauto

Moi je veux bien mais du coup, comment les trai­te­ments mention­nés plus haut sont-ils possibles ?

Soit c’est Valiuz qui est respon­sable de trai­te­ment. Dans ce cas il y a de leur part des fausses décla­ra­tions de sous-trai­tance, un trai­te­ment non déclaré sans consen­te­ment, et un partage d’in­for­ma­tion person­nelles ensuite aux diffé­rentes enseignes. Du point de vue des enseignes il y a aussi de fausses décla­ra­tions de sous-trai­tance, un partage de données person­nelles à un tiers sans consen­te­ment, et une collecte de données person­nelles sans consen­te­ment en retour.

Soit c’est bien chaque enseigne qui est respon­sable de trai­te­ment, Valiuz n’est qu’un sous-trai­tant. Comme il y a expli­ci­te­ment croi­se­ment entre les données des diffé­rentes enseignes, chaque enseigne est respon­sable de son trai­te­ment, pour lequel elle accède à son compte à l’en­semble des données des autres enseignes. Il y a alors fausses décla­ra­tions sur le fait que les données ne sont pas parta­gées aux autres enseignes, et partage sans consen­te­ment de données détaillées.

Valiuz et l’al­liance cherchent à noyer le pois­son en jouant sur les deux tableaux avec un saupou­drage de pseu­do­ny­mi­sa­tion au milieu mais en réalité ça ne tient pas, dans aucun des cas.


La suite, la plainte

Je vais poser mon dossier à la CNIL, avec l’en­semble des pièces. Outre les délais, ça va deman­der que la CNIL cherche réel­le­ment à comprendre et ne s’ar­rête pas sur les décla­ra­tions de surface de Valiuz et des diffé­rentes enseignes.

Mon histo­rique avec la CNIL ne me rend pas super opti­miste si je suis seul à poser un dossier. Pour avoir toutes les chances que ça bouge, il faudrait un effet de masse.


Et vous ?

Vous pouvez signa­ler votre oppo­si­tion au trai­te­ment auprès de Valiuz et des diffé­rentes enseignes.

Si vous voulez que ça bouge, je vous recom­mande cepen­dant d’abord de faire des requêtes d’in­for­ma­tion au titre du RGPD puis de porter plainte auprès de la CNIL (ça se fait faci­le­ment en ligne).

Pour ça je vous recom­mande de NE PAS faire oppo­si­tion auprès de Valiuz ou auprès des diffé­rentes enseignes avant obten­tion par écrit de toutes les infor­ma­tions que vous souhai­tez et qui vous permet­tront de porter plainte, pour éviter qu’ils ne puissent vous dire « je n’ai plus rien sur vous ».

Ça veut dire :

  1. Deman­der à chaque enseigne si elle a trans­mis des données vous concer­nant à Valiuz
  2. … le cas échéant la liste exhaus­tive de ce qui a pu être échangé à desti­na­tion de Valiuz ou des autres enseignes parte­naires et en prove­nance de Valiuz ou des autres enseignes parte­naires
  3. … sous quel régime cette trans­mis­sion a pu être faite (inté­rêt légi­time, consen­te­ment préa­lable, etc.) et le cas échéant la preuve de votre consen­te­ment
  4. … si pour les diffé­rents trai­te­ments décrits sur https://valiuz.com/comment-ca-fonc­tionne/ , l’en­seigne est seule respon­sable de trai­te­ment avec Valiuz en sous-trai­tant, ou si Valiuz et l’en­seigne sont co-respon­sables de trai­te­ment, ou si Valiuz est le respon­sable de trai­te­ment au sens du RGPD
  5. … dans le cas où Valiuz n’est que sous-trai­tant, les croi­se­ments néces­saires aux trai­te­ments décrits et pour lesquels l’en­seigne est seule respon­sable néces­si­tant l’ac­cès aux données des autres parte­naires, c’est l’en­seigne qui doit donc avoir léga­le­ment accès à ces données et pas unique­ment Valiuz, deman­der sous quel régime ces données ont-elles été obte­nues
  6. … de faire suivre à Valiuz une demande d’ac­cès pour l’en­semble des données déte­nues vous concer­nant

Puis

  1. Deman­der à Valiuz les mêmes infor­ma­tions 1 à 6, en refor­mu­lant pour inver­ser la situa­tion.

Je ne fais pas de brouillon a reco­pier, ça aura surtout du sens si ça vient de vous. Je peux aider (et proba­ble­ment d’autres en commen­taires) si vous avez des ques­tions.

Si d’aven­ture vous n’ob­te­nez pas les mêmes réponses que moi, faites-moi signe. Ça sera inté­res­sant.

La liste des contacts est la suivante (à contac­ter sépa­ré­ment mais si vous formu­lez bien votre demande vous pouvez faire un copier/coller pour toutes les enseignes et n’avoir une version spéci­fique que pour VALIUZ eux-même) :

VALIUZ mesdroits@­va­liuz.com
AUCHAN dpo@au­chan.fr
LEROY MERLIN dpo@­le­roy­mer­lin.fr
BOULANGER cil@­bou­lan­ger.com
ELECTRO DEPOT dpo@e­lec­tro­de­pot.fr
JULES dpo@­hap­py­chic­group.com
BIZZBEE dpo@­hap­py­chic­group.com
ROUGE GORGE rela­tion.client@­rou­ge­gorge.com
GRAIN DE MALICE contact@­grain­de­ma­lice.fr
ONEY donnees-person­nel­les@o­ney.fr
NORAUTO vosdon­nees­per­son­nel­les@­no­rauto.fr
KIABI data­pro­tec­tio­nof­fi­cer@­kiabi.com
SAINT MACLOU contact-dpo@­saint-maclou.com
TAPE A L’OEIL mesdon­nees­per­son­nel­les@t-a-o.com
TOP OFFICE dpo@­top-office.com
FLUNCH contact.cnil@­flunch.fr
3BRASSEURS contact.cnil@­les3­bras­seurs.com
NHOOD (Aushop­ping) dpo@n­hood.com
DECATHLON https://www.decath­lon.fr/help/app/ask/cat_id/920
PIMKIE dpo@­pim­kie.com
CHRONODRIVE clients@­chro­no­drive.com
ALINEA donnees-person­nel­les@a­li­nea.com



Une réponse à “Valiuz et données person­nelles”

  1. Je ne suis client, et encore, que de 3 enseignes… mais je suis curieux.

    Je viens de faire ma demande à ces 3 enseignes (Decathlon, Boulanger et Auchan).

    Stay in touch!

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.