Nous relayions lundi la découverte par un chercheur en sécurité d’une application, installée sur certains smartphones Wiko, transmettant tous les mois des données à Tinno, la maison mère chinoise de la marque, sans le consentement de l’utilisateur.
Wiko avait apporté une réponse officielle, que nous reproduisons de nouveau ci-contre, qui ne répondait pas à toutes les interrogations. Nous avons donc échangé ces deux derniers jours avec un représentant de la marque, qui nous a apporté des précisions et a annoncé des mesures.
La déclaration officielle
Pour commencer, reproduisons la déclaration que Wiko a livrée aux médias lundi après-midi et publiée sur son site internet :
Wiko est une entreprise responsable qui a toujours placé ses clients au centre de ses préoccupations. Les smartphones Wiko sont équipés de l’application STS (Sales Tracking System) dont la finalité est d’établir des statistiques de ventes et de durée de vie des produits. Les données collectées par le système STS sont des données d’ordre technique, notamment le numéro IMEI, le numéro de série, le nom du modèle du téléphone, la version du système d’exploitation Android. L’activation se fait au premier allumage, et chaque mois, exclusivement via une connexion Internet, et jamais par SMS. Aucune donnée relative à l’utilisateur, à l’utilisation du smartphone ou des applications n’est collectée.
Wiko prend les questions relatives aux données personnelles très au sérieux et a volontairement initié en 2017 un audit de l’ensemble des traitements de données personnelles dont elle est responsable. Cet audit a été réalisé par le cabinet spécialisé CIL Consulting by TNP. Wiko a toujours eu la volonté de traiter les données clients en conformité avec la règlementation, et se prépare depuis plusieurs mois à l’entrée en vigueur du RGPD au mois de mai 2018.
La collecte fonctionnera malgré tout
Cette déclaration ne nous avait pas totalement satisfaits, nous avions donc fait part de nos réserves au porte-parole de Wiko, qui nous a finalement répondu mercredi.
Nous nous émouvions notamment que Wiko collecte des données même si l’utilisateur avait désactivé les « Services Wiko ». Pour rappel, l’utilisateur est invité au premier démarrage à accepter ou non les « Services Wiko », qui incluent la « collecte de données anonymes ». Un utilisateur qui n’accepte pas ces services estime donc légitimement que son téléphone ne transmet pas de données à Wiko.
Wiko assume pourtant que les Services Wiko et le système de suivi des ventes soient décorrélés. Il n’a pas prévu de clarifier la situation lors du premier démarrage.
Bientôt un STS français à la place du STS chinois
Quoi qu’il en soit, Wiko va revoir et assagir son système de suivi des ventes (Sales Tracking System). La marque affirme qu’elle était justement en discussion avec sa maison mère pour remplacer le STS.
D’ici la fin de l’année, le STS de Tinno ne sera plus utilisé, sans qu’on sache encore s’il sera complètement désinstallé ou s’il sera seulement désactivé. Il sera remplacé par un nouveau STS développé par Wiko. Celui-ci ne transmettra plus que le modèle de téléphone, la version du logiciel, le pays d’utilisation et… le numéro IMEI. Il ne le fera qu’une fois lors du premier démarrage du téléphone, et plus tous les mois.
Wiko retirera, à une date encore inconnue, les autorisations permettant d’échanger des SMS et de localiser l’utilisateur. Le fabricant réaffirme qu’il n’a jamais recouru à ces autorisations, mais dans ces conditions on ne peut que le croire sur parole, seul le retrait des autorisations lèvera toute suspicion.
La marque insiste par ailleurs sur le fait que, contrairement à ce qu’affirmait le chercheur en sécurité, les données n’étaient pas envoyées en clair jusqu’en Chine, et susceptibles d’être interceptées sur leur route. Elles étaient transmises en Europe, plus précisément en Allemagne, et bien qu’elles étaient transmises en HTTP (plutôt qu’en HTTPS), elles étaient néanmoins chiffrées. Elles le resteront.
Quels modèles sont concernés ?
Nous avons demandé à Wiko de nous fournir la liste complète des téléphones qui embarquent le STS de Tinno. Le constructeur nous a simplement répondu que « les téléphones produits à partir d’octobre 2016 » en sont équipés. Nous ne sommes malheureusement pas en mesure de les lister nous-même. On peut néanmoins penser que les modèles les plus convoités, tels que les WIM, les View, les U Feel et les derniers modèles de la série Y (Lenny 4, Tommy 2…) sont concernés.
Le STS de Wiko « se substituera » donc à celui de Tinno, d’ici la fin du mois de décembre, sur chacun de ces modèles.
Wiko ne respecterait pas ses obligations
Reste la question du consentement de l’utilisateur.
Wiko explique que l’application STS vise seulement à « établir des statistiques de ventes et de durée de vie de ses produits », qu’il ne collecte à cet effet que des « données d’ordre technique », pour lesquelles il n’est pas tenu de demander la permission à l’utilisateur.
Mais qu’en est-il de l’IMEI (international mobile equipment identity, littéralement identité internationale d’équipement mobile), un identifiant unique à chaque smartphone ?
« Le numéro IMEI n’est pas une donnée personnelle pour Wiko, » répond le constructeur, « qui ne peut en aucun cas faire le rapprochement entre l’IMEI d’un téléphone et l’identité de l’utilisateur, » du moins « en dehors du traitement d’un appareil dans le cadre du service client ».
Pour la Cnil, l’IMEI est un identifiant technique unique se rapportant à une personne physique identifiée ou identifiable, et constitue donc une donnée personnelle. Wiko ne suit pas les recommandations de la Cnil, qui préconise d’informer l’utilisateur et de recueillir son consentement préalable. Wiko répond que l’utilisateur est informé… quelque part dans l’interminable Politique de confidentialité qu’il reconnait avoir lu au premier démarrage.
Le constructeur a en revanche l’obligation de proposer un opt-out, c’est-à-dire qu’il peut collecter des données sans consentement, mais qu’il doit permettre d’y renoncer.
Enfin, la réglementation européenne ePrivacy exige quant à elle le consentement si les données collectées ne sont pas strictement nécessaires au fonctionnement de l’appareil.
À vous de juger !
Pour aller plus loin
Qui se cache derrière Wiko ?
Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).
J'étais tranquille en train d'écouter de la musique sur youtube, d'un coup, trous dans le son, Bug du téléphone, le message "data collection service a cessé de fonctionner" :/ Je redémarre le smartphone et cherche ce que c'est, d'où l'arrivée sur cette page ... Alors 1/ les services Wiko sont désactivés (soit disant) 2/ on n'est pas en début de mois 3/ le smartphone n'était pas en train de démarrer (non eteind depuis 41 heures) C'est quoi ce truc, qu'est ce que ça collecte ? (Ceci dit s'inscrire pour publier un com sur ce forum c'est assez terrible aussi comme invasion de vie privée, je regrette déjà)
ou de ne pas posseder de Wiko tout simplement
deja que Wiko ca vaut rien, mais en plus s'ils nous espionnent !!! Marque a fuir, sans compter un SAV...inexistant
J'ai eu un wiko tommy2 prêter pas orange parce que mon P9 est en réparation, c'est le pire téléphone que j'ai eu, vraiment lent, le 1er jour d'utilisation la mémoire est déjà pleine, et il s'éteint tout seul quand on lui en demande trop (lire une vidéo sur youtube). Je comprend pas que des téléphones comme ça existe encore en 2018...
[…] servers as stated by the Twitter user @fs0c131y, who first raised attention to the problem. Our French colleagues at Frandroid have followed the matter closely and gone into more […]
[…] servers as stated by the Twitter user @fs0c131y, who first raised attention to the problem. Our French colleagues at Frandroid have followed the matter closely and gone into more […]
[…] as said by means of the Twitter person @fs0c131y, who first raised consideration to the issue. Our French colleagues at Frandroid have adopted the topic intently and long past into extra […]
[…] servers as stated by the Twitter user @fs0c131y, who first raised attention to the problem. Our French colleagues at Frandroid have followed the matter closely and gone into more […]
[…] Affaire Wiko : les mesures du fabricant, insuffisantes pour la Cnil Frandroid […]
Wiko c'était déjà de la merde, ça va pas les aider
Faut arrêter la polémique centralisée sur Wiko. De nombreuses marques ont recours à ce type de pratique afin de collecter des données utilisateurs, notamment Samsung et Sony, mais aussi de nombreux autres constructeurs, sachant qu'en plus Android récoltent vos données GPS de manière plus ou moins non consentie. Si l'on veut être peinard, le seul moyen, c'est de ne pas posséder de smartphone.
oui ils sont doués en marketing. J'ai déjà entendu pas mal de personnes dire ça. Si un groupe français possédait 90% d'une entreprise chinoise, on parlerait de filiale chinoise d'un groupe français (et non d'une entreprise chinoise, même si elle avait une marque à elle)
Je suis toujours resté dubitatif et suspicieux vis à vis de cette marque bien que je ne l'ai pas stigmatisé comme comme ce fut le cas avec Archos... Raison pour laquelle je n'ai jamais acheté un seul produits de la marque Wiko et je ne peux que m'en féliciter ! :)
Ça sent le sapin pour Wiko.
Mais Wiko c'est pas chinois c'est Marseillais ! :p
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix