Elle doit servir au paiement mobile, mais l’application Izly, conçue pour les Crous, avait un autre objectif. Collecter les données de géolocalisation des étudiants afin de leur envoyer des notifications ciblées… et des campagnes publicitaires.
Izly est une application bien connue des étudiants. Celle-ci permet notamment de « payer sur les campus avec votre carte étudiant ou votre téléphone mobile par QR Code ». Rien que sur Android, l’application a été téléchargée entre 100 000 et 500 000 fois. Développé par S-Money, filiale de Natixis, pour le Cnous (Centre national des œuvres universitaires et scolaires), ce service se veut le remplaçant de Moneo.
Alerté par un étudiant en informatique, Le Monde a mené son enquête sur cette application. Le constat de nos confrères est sans appel : Izly envoie bel et bien les données de géolocalisation de ses utilisateurs à une entreprise tierce. Le destinataire : beaconforstore.com, un site de Neerby. Cette filiale de Ezeeworld se présente comme une « plateforme de retargeting physique ». Celle-ci fournit aux enseignes des informations quant au parcours du client en magasin et leur permet interagir avec les acheteurs.
Trois sociétés alimentées
Interrogé, le gérant d’Ezeeworld renvoie Le Monde vers une autre société, Take & Buy. Laquelle revendique le « premier parc de beacons en France », beacons permettant des campagnes publicitaires géographiquement ciblées. Quel rapport donc avec Izly, une application de paiement mobile destinée aux étudiants ? Le CEO de Take & Buy explique à nos confrères être un « client de S-money ».
Le Cnous et l’éditeur d’Izly se sont adressés à cette entreprise afin d’utiliser ses «beacons » pour « proposer aux étudiants des services spécifiques et localisés, comme un mécanisme d’alerte en cas de surcharge du restaurant universitaire ». En échange de quoi, ils proposent aux utilisateurs de l’application des campagnes publicitaires. « Avec de gigantesques restrictions » précise le dirigeant de Take & Buy. Quatre opérations ont été acceptées sur 103 proposées. Et aucune donnée n’est stockée, que ce soit pas Take & Buy ou par Neerby.
C’est là qu’une quatrième société entre en jeu : Accengage. Ce spécialiste des pushs reçoit les données de localisation afin de pouvoir pousser des notifications sur les smartphones des utilisateurs. Izly ayant une portée nationale, il était nécessaire de cibler géographiquement les étudiants. D’où cette circulation des données de géolocalisation. C’est du moins l’axe que défend S-money.
Collecte sans consentement ?
Au Monde, le CEO de Take &Buy explique avoir procédé à une déclaration auprès de la Cnil. Mais les journalistes, qui ont eu en main ledit document, soulignent qu’il n’y est fait nullement mention de données de géolocalisation. Même chose du côté du Cnous. La Cnil, pour sa part, n’a pas encore réagi à cette affaire. Quant aux étudiants, il faut croire que l’installation de l’application valait consentement. Mais ce consentement était-il éclairé ?
Les CGU d’Izly ne précisent aucunement que les données de géolocalisation des utilisateurs étaient transmises à des tiers pour une utilisation à des fins publicitaires. Il n’y est question que de données bancaires qui elles ne sont pas partagées avec d’autres sociétés. Conséquence de cette enquête du Monde, le Cnous a annoncé la suppression de « la possibilité de diffusion des données de géolocalisation » de l’application Izly.