La très populaire application pour smartphone WetterOnline partage les données personnelles de ses utilisateurs avec des centaines d'entreprises tierces à des fins publicitaires. Jusqu'à il y a quelques jours, ces données incluaient des données de localisation très précises permettant de déterminer le lieu de résidence et le lieu de travail d'un utilisateur, voire la visite d'une base militaire. Ces données se sont retrouvées sur des places de marché où elles sont ouvertement mises en vente. Seuls les utilisateurs eux-mêmes ne reçoivent pas leurs données. WetterOnline refuse de fournir des informations sur les données traitées, affirmant que le respect du droit d'accès prévu par le GDPR serait trop coûteux. noyb dépose actuellement une plainte auprès de l'autorité compétente en matière de protection des données en Allemagne.
Les données de localisation précises constituent un risque pour la sécurité. Recherche par netzpolitik.org et d'autres médias internationaux ont montré que les applications de smartphones les plus répandues partagent les données de localisation de plusieurs centaines de millions d'Européens avec des sociétés tierces. Les courtiers en données consolident ensuite les données provenant de nombreuses sources et constituent des collections de données complètes. Ce qui rend la situation encore plus problématique, c'est que les données de localisation comprennent également ce que l'on appelle le Mobile Advertising ID (MAID). Il s'agit d'un identifiant unique pour chaque utilisateur. Grâce à toutes ces données, il est possible de localiser des personnes à un mètre près. Dans l'étape suivante, il est possible de déduire les lieux fréquemment visités, tels que le lieu de résidence et le lieu de travail, mais aussi les visites à une clinique de rééducation ou à une base militaire. En tant que netzpolitik.org le démontre de manière éclatantela disponibilité de telles informations peut même constituer un risque pour la sécurité nationale.
Ingo Dachwitz, journaliste à netzpolitik.org : "Nos recherches sur les Databroker Files montrent que le commerce de nos données échappe à tout contrôle. Personne ne peut savoir où aboutissent les données que les applications pour smartphones sont censées collecter à des fins publicitaires. Ce serait déjà un problème si les données n'étaient réellement utilisées que pour la publicité personnalisée. Entre de mauvaises mains, par exemple celles des services de renseignement, des harceleurs ou des nazis, elles deviennent un véritable danger
Les données pleuvent - pour les tiers. L'équipe de netzpolitik.org et ses partenaires ont réussi à mettre la main sur un tel ensemble de données, ainsi que sur des informations concernant l'origine des données de localisation vendues. WeatherOnline, une application qui a été téléchargée plus de 100 millions de foisest l'une des applications qui se démarquent le plus. Selon l'ensemble de données, l'application a collecté les données de localisation exactes de dizaines de milliers d'utilisateurs en une seule journée et dans la seule Allemagne - et les a vendues à à de nombreuses sociétés tierces dans le secteur de la publicité. Les enchères en temps réel (RTB) est susceptible de jouer un rôle central à cet égard. Il s'agit de la vente aux enchères d'espaces publicitaires au plus offrant en l'espace de quelques millisecondes. L'effet secondaire est que les données personnelles des utilisateurs ciblés se retrouvent également entre les mains d'un grand nombre d'autres acteurs de l'écosystème publicitaire. Selon la politique de confidentialité de WetterOnline, il s'agit de plus de 300 entreprises. Il y a quelques jours, WetterOnline a toutefois modifié le formulaire de consentement et la politique de confidentialité de son application. Il y est désormais précisé que les données de localisation GPS ne seront plus utilisées à des fins publicitaires.
Respecter les droits fondamentaux des personnes concernées ? Trop d'efforts, paraît-il. Pour en savoir plus sur les données de localisation échangées en ligne, le journaliste de netzpolitik.org Ingo Dachwitz a soumis une demande d'accès à WetterOnline - qui a été rapidement rejetée parce que "[l]e fait d'extraire et de compiler toutes ces données n'a aucun sens"l'extraction et la compilation de toutes ces données nécessiteraient des ressources techniques, humaines et financières considérables". Selon l'entreprise, la demande représente un "effort disproportionné" - ce qui, toutefois, ne constitue pas une exception au titre du GDPR. En d'autres termes : WetterOnline n'a manifestement aucun problème à envoyer les données personnelles des utilisateurs à des centaines d'entreprises tierces. Ce n'est que lorsqu'une personne concernée souhaite exercer son droit fondamental à la protection des données que cela semble aller trop loin. WetterOnline refuse tout simplement de se conformer à l'obligation légale de fournir des informations.
Martin Baumann, avocat spécialisé dans la protection des données à noyb: "Le GDPR indique clairement que les personnes concernées ont le droit d'obtenir une copie de leurs données traitées par une entreprise. Il n'y a tout simplement pas d'exception pour un prétendu "effort disproportionné". WetterOnline doit se conformer à la législation européenne comme toutes les autres entreprises"
Plainte déposée en Allemagne. noyb a déposé une plainte auprès de l'autorité de protection des données de Rhénanie-du-Nord-Westphalie au nom du journaliste de netzpolitik.org, Ingo Dachwitz (WetterOnline est basé à Bonn). Nous demandons à WetterOnline de se conformer pleinement à la demande d'accès du plaignant et de fournir à la fois une copie des données personnelles traitées et des informations sur les destinataires de ces données. Ceci afin d'éviter que des violations similaires ne se reproduisent à l'avenir, noyb propose également que l'autorité compétente impose une sanction administrative.
