Vous sortez de trois mois de mise en demeure par la Cnil, comment s’est passée cette période ?
Alexandra Chiaramonti : Depuis la fin de la mise en demeure, c’est un grand soulagement. Mais ces trois mois ont été très difficiles. Nous avons découvert que nous n’étions pas les seuls à être dans le viseur de la Cnil, mais les seuls à avoir été publiquement affichés. Il était très clair que nous devions être en conformité, nous travaillions avec la Cnil l’année dernière, et on ne s’attendait pas à une mise en demeure comme cela. Mais il faut noter que c’est une bonne chose que le marché avance sur ces questions, il en avait besoin.
Qu’avez-vous dû faire ?
A.C. : Pour être clair, avant, aucun éditeur n’était en conformité avec les exigences en matière de recueillement de la donnée. Donc nous avons dû effacer toute nos bases, nous nous sommes retrouvés avec aucune data en stock. Depuis la fin de la mise en demeure nous pouvons retravailler. Nous sommes en train de tout implémenter, on repart de zéro, et on reconstruit nos bases de données peu à peu. On travaille d’arrache-pied avec les éditeurs, on leur transmet des bannières de conformité, etc. Toutes les données que nous possédons désormais sont conformes.
Teemo a passé deux mois sans aucune activité. Cela a eu des conséquences ?
A.C. : Ce n’est pas un moment agréable. Certes, notre levée de fonds l’année dernière nous a aidés à avoir les reins plus solides, à tenir dans cette période difficile, sans avoir à remettre toute la société en question, mais il y a eu des départs, oui. La majorité de notre force commerciale a dû quitter l’aventure, soit quatre personnes.
Vous pensez reprendre un rythme de croisière bientôt ?
A.C. : Nous reconstruisons nos bases de données peu à peu. Nous devrions pouvoir effectuer les premières campagnes fin 2018, début 2019. Quant au rythme de croisière, c’est encore tôt pour donner une date exacte. Cela dépendra aussi du marché. Ce qui est sûr, c’est qu’il avait besoin de clarification. Même la Cnil avait besoin d’avancer sur ces sujets et nous avons beaucoup travaillé ensemble pendant ces trois mois. Et aujourd’hui, c’est gratifiant de pouvoir prendre la parole là-dessus.
Au-delà de la mise en conformité, la Cnil a eu accès à vos bases de données, et a rendu publiques, dans sa décision, les chiffres des connexions dont vous disposiez, soit 13 millions d’identifiants dans vos bases, et 1,9 million de connexions en un jour. Sur le marché, certaines personnes s’interrogent sur le potentiel de reach réel, et questionnent également la technologie SDK de ce fait. Car on dit que vous en revendiquiez plus...
A.C. : Nous avons toujours revendiqué 10 millions de connexions mensuelles. Et ce, alors même que nous avions fait auditer notre reach par Médiamétrie en septembre 2017, qui l'évaluait à 13,4 millions d'identifiants mensuels. Nos revendications sont donc en dessous de ce qu’a mesuré la Cnil dans son audit à 13,9 millions. Nous, nous n’avons parlé que des chiffres officiels cités par Médiamétrie. Cette confusion peut provenir d’une erreur concernant une version de la présentation qui a pu circuler pendant 2 mois entre la refonte de l’identité visuelle en mars 2017 et la décision du changement de nom en mai 2017. Elle indiquait en effet « 10+ millions de mobinautes / jour » au lieu de 10+ millions de mobinautes / mois ». Cette erreur a été supprimée lors de la refonte de tous les documents en juillet 2017.
L’activité de la Cnil en ce moment porte surtout sur le SDK, est-ce une technologie qui pose des questions particulières ?
A.C. : Les précisions demandées par la Cnil portent sur la conformité de la géolocalisation, peu importe la technologie utilisée. Donc normalement, toutes les sociétés de géolocalisation doivent avoir la même conformité, qu’elles passent par le SDK, les bid-request ou d’autres techniques.
On dit que vous pouvez suivre les internautes à la trace, c’est vrai ?
A.C. : Non. De manière générale, tout ce qui n’a pas trait à une visite en point de vente doit être dégradé. Par exemple, dès que l’on est dans une zone de résidence, ou un lieu travail, on perd la précision. C’est un carré de 500 mètres par 500 mètres et on sait que le mobinaute se trouve à l’intérieur, mais rien de plus. De la même manière, une visite, c’est être présent dans un magasin plus de cinq minutes et moins de trois heures. Nous avons, nous même, cartographié les magasins. Ainsi, si vous habitez au-dessus d’un Franprix, ça ne pose pas de problème. Techniquement, nous ne recevons que la latitude, la longitude et un identifiant. En passant par des applis qui géolocalisent l’internaute de manière continue, et qui ont donné leur consentement explicite. Mais nous n’avons pas forcément besoin que l’internaute active l’application dans le point de vente pour avoir la mesure. Ce qui est le cas avec les bid-request, par exemple, où la géolocalisation n’a lieu que lorsque qu’une publicité s’affiche sur votre écran.