La CNIL nous a tueR

Olivier MAGNAN-SAURIN
9 min readFeb 5, 2020

--

Cette fois c’est fini ! Nous venons de mettre la clef sous la porte, définitivement. La conclusion de 18 mois de bataille pour tenter d’inverser les effets de la mise en demeure publique que la CNIL a adressée à notre société en juillet 2018.

Après avoir créé Fidzup il y a 9 ans, avoir levé 4 millions d’euros, accompagné plus de 250 clients en Europe et aux États-Unis, avoir fait grandir une équipe qui comptait jusqu’à 35 personnes, il nous faut nous résigner à tourner la page.

Ce billet n’est évidemment nullement une remise en cause du fond de la procédure dont Fidzup a fait l’objet. Je suis convaincu que le réglementation RGPD va dans le bon sens pour la protection des données personnelles des citoyens européens. Elle est absolument nécessaire pour encadrer l’usage que les sociétés peuvent faire des données et la manière dont le consentement doit être récolté auprès de l’individu final. Chez Fidzup, nous avons d’ailleurs toujours été pro-actifs sur ce sujet et avons manipulé les données avec une éthique forte.

Si vous voulez plus de détails sur ce que nous avons mis en place chez Fidzup comme traitements sur les données dès 2014 mais aussi après la mise en demeure de la CNIL, vous pouvez parcourir le retour d’expérience que j’avais publié début 2019.

Ce billet a simplement pour but de vous partager cette expérience décisive que j’ai vécu en tant qu’entrepreneur et dirigeant d’entreprise. Et je porte l’espoir qu’il puisse contribuer à améliorer les pratiques de la CNIL à l’encontre des prochaines sociétés françaises qui feront l’objet de contrôles.

Les débuts de Fidzup et pourquoi nous sommes venus à collecter des données

J’ai fondé Fidzup en 2011 à la sortie de mes études, associé à 2 amis de promo, avec l’ambition de développer un produit innovant sur le mobile. Nous nous voulions utiliser le smartphone pour aider les enseignes de distribution.

L’aventure a démarré avec le développement d’une technologie permettant d’identifier la position et les déplacements des smartphones dans points de vente, puis en 2014 nous l’avons adossée à une plateforme publicitaire mobile. La première plateforme française de publicité mobile “drive-to-store” était née.

Nous avons ainsi inventé une manière d’aider les enseignes de la distribution à comprendre les flux de visiteurs qui rentrent dans leurs magasins et à mesurer l’impact de leurs investissements publicitaires sur les visites en points de vente. Notre contribution pour les aider à rivaliser avec la concurrence féroce des acteurs majeurs du e-commerce.

Nous nous sommes alors mis à collecter des données liées aux mobiles qui, même si elles sont non nominatives et anonymes, sont considérées comme personnelles par le régulateur.

Le produit apporte un vrai service aux enseignes et la croissance est au rendez-vous : de 10 enseignes clientes en 2015 nous passons à plus de 150 en 2017. Nous finalisons une levée de fonds de 3M€ cette même année et passons de 8 à 35 personnes en 24 mois, avec des équipes à Paris et à San Francisco.

Un contrôle en 2017 puis… plus rien pendant 10 mois

Mais le 14 septembre 2017, j’arrive au siège de la société de bon matin et je suis attendu par 4 “agents” de la CNIL qui m’informent qu’ils sont là pour effectuer un audit sur les traitement de données que nous réalisons chez Fidzup.

Nous passons la journée avec les contrôleurs, collaborons du mieux possible et ressortons plutôt confiants. Ils nous informent que nous devrions avoir un retour de leur part d’ici 3 à 4 mois et que ce retour pourra prendre la forme d’une validation complète, d’un simple rappel à l’ordre (qu’ils appellent “mise en demeure”) ou bien d’une sanction si des manquements graves sont détectés.

Nous nous disons que ce sera l’occasion d’échanger avec les équipes de la CNIL pendant les mois à venir. Nous les savons cruciaux car une nouvelle loi européenne sur les données personnelles, RGPD, devait entrer en vigueur en mai 2018. Mais les règles d’application n’étaient alors claires pour personne.

Il n’en sera finalement rien. Pendant les mois qui ont suivi le contrôle l’administration se révélera finalement bien mutique, et ce malgré les éléments que nous leur faisons parvenir régulièrement.

Première interrogation : est-ce normal qu’il n’existe aucun moyen, pour une entreprise qui veut se mettre en conformité sur le traitement des données, d’obtenir des réponses à ses demandes ?

Une procédure publique qui crée un biais concurrentiel

10 mois s’écoulent, nous commençons à nous dire que nous n’aurons jamais de retour. La croissance continue. Mi-2018, nous sommes 35 personnes, accompagnons près de 200 enseignes, et sommes présents dans deux pays. Mais le 18 juillet 2018 au soir, tout bascule : nous apprenons par lettre recommandée notre mise en demeure pour défaut “de récolte de consentement” du mobinaute pour accéder à ses données personnelles. Fait rare qui nous interpelle : cette mise en demeure sera rendue publique dès le lendemain par la CNIL. À ce stade, nous n’avons toujours pas eu de retour à nos sollicitations ou d’échange téléphonique, la surprise est complète.

Comme pour enfoncer le clou, une dépêche AFP sera envoyée. Commence alors un tourbillon incroyable : très vite les médias s’emballent avec plus de 100 articles sur le sujet, mais également des appels personnels à nos collaborateurs leur demandant de témoigner anonymement sur nos pratiques. L’impact sur la confiance de nos clients est évidemment immédiat.

Seconde interrogation : pourquoi avoir rendu publique cette procédure ?

La CNIL nous indique dans une décision complémentaire qu’elle veut profiter de notre mise en demeure pour éduquer le marché (!).

Troisième interrogation : mais où sont les autres acteurs du marché ?

Certes notre concurrent Teemo reçoit une mise en demeure le même jour que nous. Mais qu’en est-il des autres acteurs de notre marché ? Les géants américains de la publicité contre qui nous nous battons ? Pourquoi ne sont-ils pas pointés du doigt sur la place publique en même temps ?

En décidant de rendre publique la mise en demeure, la CNIL crée un biais concurrentiel sur le marché

Avec l’absence de certains acteurs de ces mises en demeure, la conclusion est vite faite pour nos clients, investisseurs et plus largement finalement de toutes les personnes prenant connaissance de cette procédure : les “méchants”, mis en demeure, d’un coté; les “gentils”, non inquiétés, de l’autre.

En 2015, sur un autre secteur d’activité, la CNIL avait pourtant mis en demeure les 13 acteurs du dating en même temps. Pourquoi ne pas reproduire le même fonctionnement sur le marché du “drive-to-store” ?

Finalement Singlespot et Vectaury, deux autres concurrents français, seront mises en demeure quelques mois plus tard. Mais même en février 2020, seules ces 2 sociétés en plus de Teemo et Fidzup ont été interpellées publiquement, sur un marché du drive-to-store qui compte pourtant une dizaine d’acteurs.

Quatrième interrogation : est-ce souhaitable que la CNIL puisse déséquilibrer à ce point un marché ? N’y-a-t-il pas de gardes-fous ?

Une CNIL qui a construit ses attentes au fur et à mesure de nos propositions pendant la mise en demeure

La mise en demeure nous ayant été adressée nous (re)prenons donc très rapidement contact avec leurs équipes, accompagnés par nos conseils, en nous disant que cette fois-ci, ça y est, ils vont pouvoir nous donner clairement le cahier des charges à respecter.

Et bien … non.

Les services de la CNIL nous rétorquent que leur vocation n’est pas d’aider à la construction des solutions mais que leur rôle se limite à contrôler la conformité des solutions proposées.

Démarre alors un jeu de ping-pong : “Fidzup : on vous propose cette fenêtre => CNIL : on vous dit ce qui nous va pas => Fidzup : voici notre nouvelle proposition => CNIL : on vous valide cette fenêtre => CNIL : ah non en fait mon N+1 me dit que ça ne lui convient pas”.

Jusqu’à 5 mois pour faire sortir nos sociétés de la mise en demeure

Cette période qui devait durer au maximum 3 mois durera finalement 5 mois.

Notre chiffre d’affaires est à l’arrêt sur toute cette période et nous voyons notre niveau de trésorerie baisser à vitesse grand V.

Nous décidons alors de faire la seule chose censée à nos yeux : baisser nos charges. Nous travaillons alors à contrecoeur à nous séparer petit à petit de nos collaborateurs. Nous passons de 35 personnes mi-2018 à 20 personnes fin 2018.

Les dernières semaines sont particulièrement usantes pour nos équipes. Début octobre nous apprenons oralement que nos dernières propositions sont acceptées par la CNIL, reste à obtenir la clôture officielle de la mise en demeure.

Mais rien ne bouge, nous attendons quelques jours, temporisons avec nos clients en leur expliquant que tout est bon pour la CNIL, nous disons à nos éditeurs partenaires qu’ils peuvent intégrer la nouvelle fenêtre de récolte de consentement, qu’elle est “adoubée” par la CNIL. Mais les positions restent figées chez nos partenaires et clients. Seuls quelques éditeurs acceptent d’intégrer la nouvelle fenêtre.

J’ai des échanges téléphoniques avec des responsables toujours plus haut à la CNIL. On me dit à chaque fois que cela ne saurait tarder. Je m’impatiente et décide finalement de me rendre au siège de la CNIL pour rencontrer les personnes en charge du dossier.

J’apprends alors que tout est bloqué… parce que Madame la Présidente de la CNIL est en déplacement à l’étranger. Pardon ?! Nous nous séparons d’une personne par semaine à cause de la procédure mais elle n’est pas clôturée parce que personne ne peut signer à la place de la Présidente qui est au Japon ? #consternation

Est-ce bien raisonnable que seule Madame la Présidente puisse signer la clôture de la mise en demeure ?

Cinquième interrogation : la CNIL ne devrait elle pas avoir des process internes qui l’obligent à réagir à une vitesse donnée quand il s’agit d’une mise en demeure publique pendant laquelle chaque jour qui passe dégrade un peu plus de valeur économique ?

Le 29 novembre 2018, la CNIL clôture enfin notre procédure. La société peut repartir vers l’avant, mais le mal était fait…

Le reste de la profession bénéficie d’une période de sursis pour se mettre en conformité et de recommandations écrites

Le 25 avril 2019 la CNIL, après avoir matraqué les 4 sociétés du drive-to-store, a décidé d’organiser enfin une réunion avec l’ensemble de la profession qui a abouti sur la publication en juillet 2019 d’une première ligne directrice claire et sur plusieurs sessions de travail sur le deuxième semestre 2019.

Ce processus a (enfin) abouti, le 14 janvier 2020, à la publication d’un projet de recommandation sur l’application de la loi RGPD au secteur du numérique et notamment au marketing en ligne.

Aucune mise en demeure ou sanction n’aura lieu avant septembre 2020.

Bien que je sois ravis pour nos confrères de l’industrie que ces recommandations soient publiques et qu’ils aient plusieurs mois pour se mettre en conformité, je m’interroge tout de même sur les raisons qui ont conduit la CNIL à ne pas appliquer le même traitement aux 4 sociétés du “drive-to-store” français ?

N’est-ce pas là encore un biais concurrentiel qui a été créé ?

Conclusion

Une nouvelle fois, si je ne remets nullement en question le fond de la procédure, je ne peux que regretter la forme employée par la CNIL.

Plutôt que de nous guider vers la mise en conformité et d’accompagner la croissance de potentiels futurs champions européens ou mondiaux, la CNIL a préféré nous “punir” d’une publicité optionnelle et néfaste qui a conduit à la mort de mon entreprise.

Où en serions-nous aujourd’hui si la CNIL avait simplement choisi de ne pas rendre publique sa mise en demeure ?

Pourquoi la CNIL n’a pas attendu de publier ses recommandations avant de nous adresser sa mise en demeure ?

Beaucoup de questions se posent dans l’action du régulateur français sur le marché du “drive-to-store” et j’ai la sensation que Fidzup a été sacrifiée sur l’autel de la communication !

Nos ambitions de croissance internationales ont été annihilées pour finalement ouvrir des opportunités supplémentaires… à nos concurrent américains. Une partie de nos talents, mais aussi de nos clients, sont partis dans les GAFA, qui ont profité de la situation pour se renforcer sur notre marché.

Comment créer des champions européens dans ce contexte si l’application de nos lois est plus contraignante pour les sociétés du vieux continent que pour le reste du monde ? Comment reprendre le leadership dans le domaine de la technologie ou du stockage des données si nous renforçons les positions des Américains ou des Chinois ?

Si je partage l’histoire de Fidzup c’est que je porte l’espoir que la CNIL prenne acte de cet épisode fâcheux et qu’elle revoit sa manière de fonctionner sur les points que j’ai évoqué tout au long de ce billet.

Et maintenant ?

Je me suis battu toute l’année 2019 pour inverser la tendance, remettre en ordre de marche les ventes, ré-enclencher une dynamique positive dans nos équipes, stabiliser la situation financière de la société. Mais rien n’y a fait, après ces derniers mois qui m’auront fait vivre des montagnes russes émotionnelles, je dois accepter la chose : Fidzup c’est fini !

Je tiens à remercier toutes les personnes qui m’ont fait confiance pendant cette aventure de 9 ans, mes associés, nos salariés, nos actionnaires, nos clients et nos fournisseurs.

Merci et à bientôt.

Olivier

--

--

Olivier MAGNAN-SAURIN

CEO & co-founder @Fidzup, working on location-based marketing for retail