LE SERVICE DE PAIEMENT IZLY : LES DONNÉES DE GÉOLOCALISATION DES ÉTUDIANTS TRANSMISES À DES ENTREPRISES DE MARKETING

Publié par le dans | Consulté 222 Fois

Depuis peu, de nombreux restaurants universitaires français proposent un nouveau moyen de paiement : le service Izly. C’est le cas notamment du restaurant universitaire du campus Schuman d’Aix-en-Provence, où les étudiants peuvent au moyen de leur carte « étudiante », payer leur repas tant au restaurant universitaire qu’à la cafétéria. Cette solution 0 cash est accompagnée d’une application avec laquelle les étudiants peuvent payer grâce à un QR-code, recharger leur compte, se rembourser entre eux ou encore créer un pot commun. Ce moyen de paiement était à première vue, une alternative intéressante afin de garantir un paiement sécurisé. Mais le 22 juillet 2017, un étudiant en informatique étudie le procédé de l’application Izly et révèle sur son blog que les données de géolocalisation des usagers sont envoyées à des entreprises tierces.

Un moyen de paiement dont les données de géolocalisation des usagers sont transmises à des entreprises de marketing

La genèse du service de paiement Izly est initiée par un appel d’offre lancé par le CNOUS, le Centre national des œuvres universitaires et scolaires pour un montant de 3,5 millions d’euros. C’est l’un des plus grands établissements bancaires français, la société BPCE, Banques Populaires et Caisses d’Epargne qui remporte le marché pour une durée de six ans. La société dispose en effet d’une filiale spécialisée dans les solutions de paiement mobile S-money, servant de base à l’application Izly.

Depuis la mise en place du système, des « ambassadeurs » Izly viennent convaincre les étudiants de l’usage du moyen de paiement : facilité d’utilisation, points fidélités collectés, promotions personnalisées et bien d’autres choses encore. Ces avantages qui découlent de l’utilisation d’Izly comme un moyen de paiement 0 cash sont cependant à pondérer avec un autre enjeu, celui de la protection des données personnelles de ses utilisateurs. Nombre d’usagers méconnaissent certainement l’usage qui est fait de leurs données comme le souligne l’étudiant en informatique Rémi Grünblatt, qui révéla que l’application transmettait les données de géolocalisation collectées à des entreprises de marketing. Pour comprendre l’usage qui est fait de ces données, il est important de savoir à qui celles-ci sont envoyées.

En réalité, les données des utilisateurs d’Izly sont envoyées dans un premier temps au site beaconforstore.com qui redirige les données vers le site de l’entreprise Neerby, filiale d’Ezeeworld. Cette dernière propose de cibler la clientèle en analysant ses habitudes et ses trajets. Son PDG évoque cependant n’être qu’un « intermédiaire technique », traitant les données reçues par l’application et les transmettant à une nouvelle entreprise.

Les données traitées sont en effet envoyées à une nouvelle entreprise, Take & Buy, disposant du plus grand parc de beacons en France. Les beacons utilisent la technologie bluetooth afin de transmettre des messages publicitaires sur les téléphones se trouvant à proximité. L’entreprise en question maintient ne pas stocker les données en provenance de l’application Izly qui lui sont transmises. En réalité, son rôle tient à l’envoi de messages aux étudiants afin de proposer des services, notamment des alternatives lorsque les restaurants universitaires ou les bibliothèques sont surchargés. En échange de ce service l’entreprise pourra réaliser des opérations de publicité, soumises à l’approbation du CNOUS. La société Take & Buy souligne d’ailleurs que sur 103 opérations publicitaires proposées, le CNOUS en aurait validé uniquement quatre.

Une dernière entreprise entre en jeu, la société Accengage proposant le service Ad4Push permettant d’envoyer des notifications sur mobiles. La finalité de ce système étant de pouvoir envoyer aux étudiants des informations ciblées géographiquement à propos de leurs universités. Les données de géolocalisation permettant de « contextualiser le message » selon Olivier Tilloy, directeur général adjoint du service S-Money.

Un modèle de collecte et de transmission des données remis en cause

Nous sommes donc en présence d’un moyen de paiement né d’une initiative publique, dont les données collectées sont transmises à des entreprises privées. Leur objet est notamment le traitement et l’analyse des données afin de cibler géographiquement, une potentielle clientèle de services dont ils sont en charge de faire la promotion. Le service Izly étant l’unique moyen de paiement possible au sein de certains restaurants universitaires, aucune alternative n’est possible pour les étudiants. Ces derniers se trouvent par conséquent, captifs du système Izly collectant leurs données de géolocalisation, pour la plupart à leur insu.

Comme le démontre le journal Le Monde, cette collecte de données de géolocalisation n’était pas notifiée au sein de la déclaration faite à la CNIL par la société Take & Buy. L’absence de renseignements quant à ces données géolocalisées se retrouve dans la demande d’avis elle aussi adressée à la CNIL, émanant du CNOUS à propos du service de paiement IZLY.

Le nouveau règlement général de protection des données (RGPD) prévoit en son article 5 que « les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ». Ce règlement place les internautes dans une situation plus favorable en garantissant notamment un usage plus transparent de leurs données. Dans une ancienne version des conditions d’utilisation d’Izly, on peut constater que les données sont récupérées par « S-money, le groupe BPCE, ainsi que par ses filiales directes et indirectes ou par ses partenaires commerciaux », et peuvent être notamment utilisées à des fins de « prospection et d’animation commerciale ». Ce sont des finalités déterminées et explicites à cette collecte de données qui feraient défaut à l’application Izly.

Depuis la révélation de l’usage fait des données par Le Monde, le CNOUS a fait savoir au sein d’un communiqué la fin de la diffusion des données de géolocalisation via l’application. Le président du CNOUS tient ainsi à rassurer les étudiants « pour qu’il n’y ait aucune ambiguïté ni inquiétude ».

Ces faits restent à relativiser puisque la communication des données de géolocalisation des usagers du service de paiement à préalablement été acceptée par la validation des conditions générales d’utilisation. Ces données transmises à des entreprises tierces restaient également anonymes. Il est donc difficile, légalement, d’établir une éventuelle infraction à partir du moment où les utilisateurs ont eux-mêmes accepté la collecte de leurs données. C’est sur le plan moral que le bât blesse, compte tenu de l’obligation d’utilisation de ce moyen de paiement par les étudiants dans certains restaurants universitaires. Finalement, cela laisserait penser que d’aucune manière, nous ne pouvons échapper à la collecte de nos données, et ce, même dans le milieu universitaire.

 

Sources :

GRUNBLATT (R.), « Mais avec qui communique l’application Android Izly ? », bloggrunblatt.org, publié le 22 juillet 2017, consulté le 26 novembre 2017, https://blog.grunblatt.org/mais-avec-qui-communique-lapplication-android-izly.html

UNTERSINGER (M.), « Izly, l’appli du Cnous qui géolocalise des étudiants et renseigne des sociétés publicitaires », lemonde.fr, publié le 20 octobre 2017, consulté le 26 novembre 2017, http://www.lemonde.fr/pixels/article/2017/10/20/izly-l-appli-du-cnous-qui-geolocalise-des-etudiants-et-renseigne-des-societes-publicitaires_5203902_4408996.html