Tous les jours, des centaines de milliers d’étudiants dégainent leur smartphone et l’application Izly pour payer leur « restau U ». Ce qu’ignorent nombre d’entre eux, c’est qu’à chaque utilisation de cette application, s’ils l’ont autorisée à les géolocaliser, leur position au mètre près est envoyée à deux sociétés de marketing, afin que des marques ou des magasins puissent leur proposer des messages publicitaires ciblés.

Quelles sont ces entreprises et que font-elles de ces données ? Pourquoi le Cnous (Centre national des œuvres universitaires et scolaires), établissement public, a-t-il décidé d’insérer dans une application qu’il fait utiliser à tous les étudiants un dispositif potentiellement très intrusif, dans lequel interviennent quatre sociétés privées ? Nous avons mené l’enquête sur ce service utile aux étudiants, et en partie financé avec leurs données personnelles, sans qu’ils en soient pleinement conscients et informés, révélateur d’un certain écosystème numérique contemporain.

Tout commence sur l’ordinateur de Rémy Grünblatt. Après avoir assisté à une conférence à Paris peu avant l’été sur la sécurité des applications mobile, cet étudiant en informatique à l’Ecole normale supérieure de Lyon s’intéresse à Izly, application qu’il utilise quotidiennement. Surpris de voir sa géolocalisation s’échapper de ce qui devrait être une simple solution de paiement, il y consacre un article sur son blog.

En l’absence de réaction, il décide de contacter Le Monde. Nous avons installé l’application afin d’intercepter et d’analyser toutes les communications de l’application sur Internet. Nous avons ainsi pu confirmer l’existence de cette fonctionnalité dans Izly, sur Android comme sur iOS. Rien qu’en lançant l’application, et sans même nous y connecter, cette dernière communique à une entreprise tierce nos coordonnées GPS précises, celles du siège du Monde, où nous nous trouvons. Les données bancaires, très sensibles, ne sont pas communiquées à cette entreprise.

En analysant les flux Internet sortant de l'application, nous avons confirmé que nos données GPS étaient transmises par l'application. / Capture d'écran

Les coordonnées GPS correspondent parfaitement au siège du « Monde ». / Capture d'écran

Plusieurs sociétés privées intermédiaires

Ces données géographiques sont envoyées vers beaconforstore.com. Ce site appartient à Neerby, entreprise filiale de la société française Ezeeworld. Se présentant comme une « plate-forme de retargeting physique », elle promet aux entreprises de cibler leurs clients potentiels « en analysant leurs habitudes et leurs trajets » en s’appuyant justement sur des données collectées par des applications tierces. Neerby peut ainsi « connaître la fréquentation [du consommateur] (temps de présence, récurrence…) et ses lieux de vie (lieu d’habitation, de travail, loisirs…) », se vantait, au mois d’avril, le gérant d’Eezyworld, Patrick Chatanay, sur le site spécialisé Ecran Mobile. L’entreprise stocke-t-elle les données des centaines de milliers d’usagers de l’application Izly ? Les utilise-t-elle pour les proposer à ses clients ? Le gérant d’Ezeeworld a refusé à plusieurs reprises de répondre à nos questions, insistant sur le fait que sa société n’était qu’un intermédiaire technique entre l’application Izly, utilisée par les Crous, et une troisième entreprise, Take & Buy.

Cette autre société est spécialisée dans la mise en place, dans des magasins, de « beacons », des émetteurs Bluetooth qui permettent d’envoyer un message promotionnel sur les appareils mobiles passant à proximité. Au téléphone, son gérant, Jean-Philippe Allocio, confirme être client de S-money, la filiale de la banque Natixis qui réalise l’application Izly pour les Crous, et avoir passé un contrat avec Neerby pour récupérer les données. Selon lui, les Crous et S-money cherchaient un moyen de proposer aux étudiants des services spécifiques et localisés, comme un mécanisme d’alerte en cas de surcharge du restaurant universitaire ou de la bibliothèque. Ils se sont donc tournés vers son entreprise et son parc de 20 000 émetteurs « beacons » installés dans toute la France. « En échange, on leur a demandé de proposer un certain nombre d’opérations [publicitaires]. Ils l’ont accepté mais avec de gigantesques restrictions, qui éliminent quasiment tous les annonceurs : sur 103 opérations proposées, ils en ont accepté quatre », précise-t-il encore.

L’intrusion publicitaire est limitée, mais qu’arrive-t-il à ces données ? M. Allocio nie formellement les stocker et explique qu’aussitôt qu’elles parviennent à Take & Buy, celle-ci vérifie si une entreprise cliente désire envoyer un message publicitaire à l’utilisateur. Si cette entreprise ne le désire pas, toujours selon M. Allocio, les données disparaissent. « Je ne vends pas de profils », assure M. Allocio, affirmant ne « jamais, jamais, jamais [sic] stocker l’ombre d’une information sur un utilisateur ». « Aucune donnée n’est stockée par Ezeeworld », confirme Olivier Tilloy, directeur général adjoint de S-money, l’entreprise qui édite l’application Izly pour le Cnous, ajoutant qu’en ayant « un droit d’audit sur Take & Buy, [S-money] peut à tout moment vérifier qu’il respecte bien le traitement des données ».

Le trajet des données personnelles collectées via Izly. / Le Monde / Quentin Hugon

Des notifications géographiquement ciblées

« Pour des annonceurs, c’est un frein si l’utilisateur a la désagréable sensation qu’on a analysé sa vie », se justifie encore M. Allocio. Ce dernier évoque l’existence d’un « agrément » de la Commission nationale de l’informatique et des libertés (CNIL). Or cette dernière n’en délivre pas. Interrogé sur le sujet, M. Allocio a précisé avoir procédé à une déclaration auprès de l’organisme – de fait, une obligation légale élémentaire qui ne garantit pas la légalité du traitement. Dans cette dernière, déposée en mars et que nous nous sommes procurée, Take & Buy ne dit collecter que l’identifiant publicitaire du téléphone, sans un mot sur les données de géolocalisation. Dans sa demande d’avis au sujet d’Izly, déposée auprès de la CNIL, que nous avons également consultée, le Cnous ne mentionne pas non plus les données de géolocalisation.

Les données de géolocalisation sont en fait envoyées à une deuxième société, distincte d’Ezeeworld. Les coordonnées GPS des téléphones ayant activé la géolocalisation parviennent à la société Accengage, qui édite le service Ad4Push, une solution qui permet d’envoyer des notifications sur les smartphones. Les données géographiques sont-elles nécessaires ? Oui, selon Olivier Tilloy, de S-money. Il doit être possible, explique-t-il, d’envoyer à l’étudiant des notifications géographiquement ciblées, spécifiques à sa région voire à son université, or l’application Izly est nationale. « L’actualité d’un étudiant n’est pas la même partout, on a besoin de contextualiser le message pour les étudiants », explique M. Tilloy.

« Tendre vers le zéro cash » dans les restaurants

Pour comprendre pourquoi ces deux sociétés reçoivent les données de géolocalisation des étudiants, il faut revenir à la genèse d’Izly. Depuis des années, et comme il l’a rappelé lors de la rentrée universitaire, le Cnous veut « tendre vers le “zéro cash” » dans ses restaurants universitaires afin de « sécuriser les transactions » et de « fluidifier le passage en caisse ». Aujourd’hui, le Cnous essaie par tous les moyens de populariser cette solution auprès des étudiants. Des « ambassadeurs portant haut et fort les valeurs du dispositif » sont ainsi recherchés par le Crous d’Aix-Marseille-Avignon, des promotions « telles qu’un café offert, des pâtisseries à prix mini » sont proposées par le Crous de Grenoble, ou des places de cinéma sont offertes par le Crous de Toulouse. Certains Crous, comme ceux de Grenoble ou de Paris, intègrent même le dispositif Izly dans une carte multiservice destinée, par exemple, à régler les photocopies ou à accéder à certains bâtiments.

En mars 2014, le Cnous se met à la recherche d’une solution dématérialisée pour remplacer le système Moneo, utilisé dans certains de ses centres mais jugé insatisfaisant. Quatre mois plus tard, il noue pour six ans un contrat – fixé lors d’un l’appel d’offre à 3,5 millions d’euros – avec le groupe bancaire BPCE (Banques populaires et Caisses d’épargne), l’un des cinq plus grands établissements français. Le groupe dispose d’une filiale, S-money, fondée en 2011 et spécialisée dans solutions de paiement mobile. C’est ainsi l’application de S-money qui sert de base technique à l’application d’Izly.

L’installation du système est financée intégralement par le Cnous. Dans un second temps, comme l’attestent les spécifications techniques du marché que nous avons obtenues, le fonctionnement quotidien est rémunéré par le prélèvement d’une fraction des flux financiers générés par le système mais également par le « recours au sponsoring et/ou publicité ». « Nous voulons faire des choses intéressantes, tester l’apport de nouvelles technologies », avance Olivier Tilloy. « Mais pour l’instant, financièrement, il n’y a pas réellement d’intérêt, nous avons envoyé moins de 20 000 notifications. Nous filtrons les demandes d’annonceur, car notre objectif c’est de générer plus d’usage autour d’Izly, et pas d’envoyer des messages sans intérêt pour les étudiants », explique-t-il encore.

Aucune mention de l’envoi des données

Dans les spécifications du marché, le Cnous a prévu d’encadrer au maximum ces « prestations supplémentaires » : elles doivent en effet « être en adéquation à l’éthique de l’institution », « dans une démarche mesurée » et « être mises en œuvre avec l’accord préalable et explicite de l’ayant droit à chaque fois que des données personnelles sont utilisées ». Au Cnous, on fait ainsi remarquer que l’étudiant a donné son consentement pour activer la géolocalisation. Mais combien d’étudiants savaient-ils comment ces données étaient réellement utilisées et quelles étaient les entreprises qui les recevaient ?

Si, sur le site officiel, il est indiqué qu’« Izly s’engage (…) sur la protection de vos données personnelles et de votre confidentialité », il n’y est fait nulle mention de l’envoi de données de localisation à des sociétés publicitaires. Il faut se pencher sur les quelques lignes d’une autre version des conditions d’utilisation du service, très loin d’être lues par la majorité des étudiants, pour savoir que les données personnelles de l’utilisateur sont recueillies par « S-money, le groupe BPCE, ainsi [que par] ses filiales directes et indirectes ou [par] ses partenaires commerciaux » et peuvent être utilisées pour de la « prospection et [de] l’animation commerciale ».

Toujours selon ces conditions, les utilisateurs de l’application peuvent s’opposer à ce que leurs données soient utilisées de la sorte. Il faut pour cela contacter directement S-money. Par courrier postal.