Valiuz et données person­nelles

Tout commence par Décath­lon

Je découvre en août un message Twit­ter qui parle de partage de données par Décath­lon à un hub de données nommé Valiuz, et tout ça n’a pas l’air neuf.

Suite à ma requête, Décath­lon m’in­forme que mes données n’ont jamais été parta­gées et que c’est une anoma­lie d’af­fi­chage.

Note : Je pars de là mais Décath­lon a été propre du début à la fin des échanges et, pour peu qu’on croit effec­ti­ve­ment à la réponse de l’er­reur d’af­fi­chage, je n’ai stric­te­ment rien à leur repro­cher.

---

Valiuz

Par contre j’ai poussé avec Valiuz.

Valiuz regroupe quasi­ment toutes les enseignes du groupe Muliez (Decath­lon, Auchan, Kiabi, Boulan­ger, Leroy Merlin, Boulan­ger, Norauto, etc.). Le but est (je cite) « de mettre en commun avec un groupe d’en­seignes les infor­ma­tions vous concer­nant ».

La page « comment ça fonc­tionne » laisse peu de doutes : Ils analysent les données person­nelles de plusieurs enseignes et en tirent de nouvelles infor­ma­tions person­nelles, qu’ils repar­tagent aux diffé­rentes enseignes dont je suis client.

À partir de mon compte Kiabi ils peuvent savoir que j’ai un fils, et le parta­ger à Décath­lon. À partir de mes achats Auchan ils peuvent savoir que j’aime les produits frais et le parta­ger à Boulan­ger qui voudra me vendre des produits de cuisine.

À partir de mes achats chez LeroyMer­lin ils peuvent infor­mer Norauto que je suis quelqu’un qui fait ses achats le samedi en passant dans les maga­sins plutôt que par le web.

À partir des adresses de mes livrai­sons, de mon compte utili­sa­teur ou de mes maga­sins Jules, ils peuvent dire à Elec­tro Dépôt que j’ai démé­nagé.

---

Données person­nelles

Bref, Valiuz, à son compte ou en tant que sous-trai­tant (on y revien­dra), traite des données person­nelles détaillées de prove­nance multiple, les recoupe, déter­mine des infor­ma­tions person­nelles nouvelles qu’il va repar­ta­ger à diffé­rentes enseignes.

Valiuz joue ici le rôle du hub centra­li­sa­teur pour les données.

Leur page « données person­nelles » indique qu’ils croisent ainsi les données person­nelles des diffé­rents acteurs dont sexe, âge et loca­li­sa­tion, les histo­riques d’achat, des éven­tuels pistages publi­ci­taires obte­nus via le web ou le mobile si vous accep­tez les cookies, mais aussi des données tierces acces­sibles en ligne et des bases de données de tiers.

Ce n’est pas rien, et éton­nam­ment, la grande majo­rité se fait sans consen­te­ment préa­lable.

---

Absence de consen­te­ment préa­lable

Si Décath­lon me répond que l’ac­ti­va­tion par défaut de Valiuz dans mon profil utili­sa­teur est une anoma­lie d’af­fi­chage, Norauto informe eux que l’uti­li­sa­tion de Valiuz relève de leur inté­rêt légi­time, et n’est donc soumis à aucun consen­te­ment préa­lable. De fait, ils ont en effet trans­mis à Valiuz tout mon histo­rique d’achat.

De manière très éton­nante, autant Valiuz que Norauto invoquent l’in­té­rêt légi­time des tiers comme raison du partage des données vers les autres membres de l’al­liance.

Pour infor­ma­tion, ce partage basé sur l’in­té­rêt légi­time des membres de l’Al­liance, ne concerne que les membres qui vous connaissent déjà et pour lesquels vous ne vous êtes pas oppo­sés.

Décla­ra­tion Norauto

S’agis­sant de la base légale des trai­te­ments de données mis en oeuvre par Valiuz pour le compte des entre­prises parte­naires, celle-ci repose:
– sur l’in­té­rêt légi­time de chaque entre­prise de comprendre les attentes de ses clients, de mettre à jour leurs données, et d’amé­lio­rer la perti­nence des commu­ni­ca­tions qu’elle peut leur adres­ser.

Décla­ra­tion de Valiuz

---

Le paravent de la pseu­do­ny­mi­sa­tion

La première ligne de défense est d’es­sayer de dire que les données sont parta­gées sous forme de pseu­do­nyme [et que donc ça n’est pas bien grave].

Votre adresse email, adresse postale ou encore votre numéro de télé­phone sont trans­for­més pour ne pas être compré­hen­sibles (prenom.nom@­mail.com deviennent 1a2b3c4d5e6f7…) et servent unique­ment à regrou­per les infor­ma­tions corres­pon­dant à un même client, de façon auto­ma­tique.

Ces infor­ma­tions ne sont jamais trans­mises à nos parte­naires, qui vous contac­te­ront donc unique­ment si vous leur avez fourni vos coor­don­nées et donné votre accord pour être contacté(e).

Valiuz, page « mes droits »

NORAUTO partage à VALIUZ des données pseu­do­ny­mi­sées
[…]
Les données trai­tées par VALIUZ sont chif­frées de sorte que VALIUZ n’est pas en mesure de vous iden­ti­fier direc­te­ment avec ces données (données “pseu­do­ny­mi­sées”).

Norauto, charte sur les cookies et les données Person­nelles

Malheu­reu­se­ment ça ne protège de rien du tout.

Déjà parce que les données sont assez complètes (loca­li­sa­tion, âge, enfants, histo­rique d’achat complet, et ça croisé entre plus de 20 enseignes en ligne et en physique) mais aussi parce que l’iden­ti­fiant est un iden­ti­fiant unique partagé juste­ment fait pour lier les données des diffé­rentes enseignes entre elles.

servent unique­ment à regrou­per les infor­ma­tions corres­pon­dant à un même client

Valiuz, page « mes droits »

afin que ces dernières soient analy­sées par VALIUZ après mise en commun de ces données avec celles four­nies par les membres de l’al­liance

Norauto, charte sur les cookies et les données Person­nelles

On a un joli paravent mais mais cette pseu­do­ny­mi­sa­tion n’em­pêche ni le croi­se­ment des données ni l’iden­ti­fi­ca­tion (on passera sur la confu­sion entre chif­fre­ment et pseu­do­ny­mi­sa­tion dans les infor­ma­tions de Norauto).

Pire ! Vu qu’il s’agit ensuite de récu­pé­rer des infor­ma­tions person­nelles (adresse obso­lète, habi­tudes d’achat), cet iden­ti­fiant est expli­ci­te­ment fait pour permettre une ré-iden­ti­fi­ca­tion par les desti­na­taires, et ne rien masquer.

Bref, données person­nelles en entrée, données person­nelles en trai­te­ment, données person­nelles en sortie, fait pour être des données iden­ti­fiantes par tous les acteurs qui les utilisent réel­le­ment.

---

Paravent de la sous-trai­tance

J’ai envoyé une demande d’in­for­ma­tion à Valiuz. Pour eux, sauf pour ce qui concerne le cookie publi­ci­taire, ils ne sont que sous-trai­tant des diffé­rentes enseignes. Ils ne réalisent aucun trai­te­ment à leur propre compte.

Valiuz agit en qualité de sous-trai­tant de ses diffé­rents clients (entre­prises parte­naires)

Décla­ra­tion Valiuz

Valiuz agit en qualité de sous-trai­tant de Norauto

Décla­ra­tion de Norauto

Tous insistent que les données sources ne sont pas parta­gées à d’autres acteurs, ni même entre membres de l’al­liance

Nous atti­rons votre atten­tion sur le fait que ces données ne sont pas trans­mises ou rendues acces­sibles aux entre­prises parte­naires de Valiuz, ni à d’autres tiers.
[…]
Seule Valiuz a accès à l’en­semble des données trans­mises par ses entre­prises parte­naires. Concrè­te­ment, cela signi­fie par exemple que l’en­seigne X n’a pas connais­sance de vos données d’achat ou navi­ga­tion inter­net au sein de l’en­seigne Y et vice versa.

Décla­ra­tion de Valiuz

Seul Valiuz a accès à l’en­semble des données trans­mises par Norauto.

Décla­ra­tion de Norauto

Moi je veux bien mais du coup, comment les trai­te­ments mention­nés plus haut sont-ils possibles ?

Soit c’est Valiuz qui est respon­sable de trai­te­ment. Dans ce cas il y a de leur part des fausses décla­ra­tions de sous-trai­tance, un trai­te­ment non déclaré sans consen­te­ment, et un partage d’in­for­ma­tion person­nelles ensuite aux diffé­rentes enseignes. Du point de vue des enseignes il y a aussi de fausses décla­ra­tions de sous-trai­tance, un partage de données person­nelles à un tiers sans consen­te­ment, et une collecte de données person­nelles sans consen­te­ment en retour.

Soit c’est bien chaque enseigne qui est respon­sable de trai­te­ment, Valiuz n’est qu’un sous-trai­tant. Comme il y a expli­ci­te­ment croi­se­ment entre les données des diffé­rentes enseignes, chaque enseigne est respon­sable de son trai­te­ment, pour lequel elle accède à son compte à l’en­semble des données des autres enseignes. Il y a alors fausses décla­ra­tions sur le fait que les données ne sont pas parta­gées aux autres enseignes, et partage sans consen­te­ment de données détaillées.

Valiuz et l’al­liance cherchent à noyer le pois­son en jouant sur les deux tableaux avec un saupou­drage de pseu­do­ny­mi­sa­tion au milieu mais en réalité ça ne tient pas, dans aucun des cas.

---

La suite, la plainte

Je vais poser mon dossier à la CNIL, avec l’en­semble des pièces. Outre les délais, ça va deman­der que la CNIL cherche réel­le­ment à comprendre et ne s’ar­rête pas sur les décla­ra­tions de surface de Valiuz et des diffé­rentes enseignes.

Mon histo­rique avec la CNIL ne me rend pas super opti­miste si je suis seul à poser un dossier. Pour avoir toutes les chances que ça bouge, il faudrait un effet de masse.

---

Et vous ?

Vous pouvez signa­ler votre oppo­si­tion au trai­te­ment auprès de Valiuz et des diffé­rentes enseignes.

Si vous voulez que ça bouge, je vous recom­mande cepen­dant d’abord de faire des requêtes d’in­for­ma­tion au titre du RGPD puis de porter plainte auprès de la CNIL (ça se fait faci­le­ment en ligne).

Pour ça je vous recom­mande de NE PAS faire oppo­si­tion auprès de Valiuz ou auprès des diffé­rentes enseignes avant obten­tion par écrit de toutes les infor­ma­tions que vous souhai­tez et qui vous permet­tront de porter plainte, pour éviter qu’ils ne puissent vous dire « je n’ai plus rien sur vous ».

Ça veut dire :

1. Deman­der à chaque enseigne si elle a trans­mis des données vous concer­nant à Valiuz
2. … le cas échéant la liste exhaus­tive de ce qui a pu être échangé à desti­na­tion de Valiuz ou des autres enseignes parte­naires et en prove­nance de Valiuz ou des autres enseignes parte­naires
3. … sous quel régime cette trans­mis­sion a pu être faite (inté­rêt légi­time, consen­te­ment préa­lable, etc.) et le cas échéant la preuve de votre consen­te­ment
4. … si pour les diffé­rents trai­te­ments décrits sur https://valiuz.com/comment-ca-fonc­tionne/ , l’en­seigne est seule respon­sable de trai­te­ment avec Valiuz en sous-trai­tant, ou si Valiuz et l’en­seigne sont co-respon­sables de trai­te­ment, ou si Valiuz est le respon­sable de trai­te­ment au sens du RGPD
5. … dans le cas où Valiuz n’est que sous-trai­tant, les croi­se­ments néces­saires aux trai­te­ments décrits et pour lesquels l’en­seigne est seule respon­sable néces­si­tant l’ac­cès aux données des autres parte­naires, c’est l’en­seigne qui doit donc avoir léga­le­ment accès à ces données et pas unique­ment Valiuz, deman­der sous quel régime ces données ont-elles été obte­nues
6. … de faire suivre à Valiuz une demande d’ac­cès pour l’en­semble des données déte­nues vous concer­nant

Puis

7. Deman­der à Valiuz les mêmes infor­ma­tions 1 à 6, en refor­mu­lant pour inver­ser la situa­tion.

Je ne fais pas de brouillon a reco­pier, ça aura surtout du sens si ça vient de vous. Je peux aider (et proba­ble­ment d’autres en commen­taires) si vous avez des ques­tions.

Si d’aven­ture vous n’ob­te­nez pas les mêmes réponses que moi, faites-moi signe. Ça sera inté­res­sant.

La liste des contacts est la suivante (à contac­ter sépa­ré­ment mais si vous formu­lez bien votre demande vous pouvez faire un copier/coller pour toutes les enseignes et n’avoir une version spéci­fique que pour VALIUZ eux-même) :

VALIUZ mesdroits@­va­liuz.com
AUCHAN dpo@au­chan.fr
LEROY MERLIN dpo@­le­roy­mer­lin.fr
BOULANGER cil@­bou­lan­ger.com
ELECTRO DEPOT dpo@e­lec­tro­de­pot.fr
JULES dpo@­hap­py­chic­group.com
BIZZBEE dpo@­hap­py­chic­group.com
ROUGE GORGE rela­tion.client@­rou­ge­gorge.com
GRAIN DE MALICE contact@­grain­de­ma­lice.fr
ONEY donnees-person­nel­les@o­ney.fr
NORAUTO vosdon­nees­per­son­nel­les@­no­rauto.fr
KIABI data­pro­tec­tio­nof­fi­cer@­kiabi.com
SAINT MACLOU contact-dpo@­saint-maclou.com
TAPE A L’OEIL mesdon­nees­per­son­nel­les@t-a-o.com
TOP OFFICE dpo@­top-office.com
FLUNCH contact.cnil@­flunch.fr
3BRASSEURS contact.cnil@­les3­bras­seurs.com
NHOOD (Aushop­ping) dpo@n­hood.com
DECATHLON https://www.decath­lon.fr/help/app/ask/cat_id/920
PIMKIE dpo@­pim­kie.com
CHRONODRIVE clients@­chro­no­drive.com
ALINEA donnees-person­nel­les@a­li­nea.com

---