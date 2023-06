Le centre roaming de Proximus dispose d’une mine de datas. Des données qui valent de l’or. Un or qui peut néanmoins se transformer en nitroglycérine si on n’y fait pas attention. Une plainte contre l’une des filiales de Proximus pour infraction au RGPD pourrait ainsi entraîner une amende pouvant aller jusqu’à 4% de son chiffre d’affaires.

Le centre de commutation international de Proximus s’est spécialisé dans le transport de données, de voix et de SMS entre opérateurs. Un tel centre connecte les réseaux de centaines de fournisseurs de télécommunications du monde entier. Ce qui fait que ses infrastructures sont le passage presque obligé de toutes les conversations téléphoniques et SMS. En gros, si on passe un appel d’un pays à un autre il est plus que probable que celui-ci passe par BICS (soit Belgacom International Carrier Services, une filiale de Proximus, anciennement Belgacom). On estime ainsi que plus de 25% du roaming mondial passe via lui. BICS sait donc aussi qui appelle qui, à quelle fréquence et combien de temps durent ces appels. Autant dire que ce genre d’informations vaut de l’or. Un pactole qui n’échapperait pas à l’entreprise. Au point d’enfreindre le RGPD ?

Une plainte auprès de l’APD

Max Schrems © Reuters

Certains se demandent ainsi si Proximus ne transfère pas illégalement des données d’une filiale à l’autre pour les vendre à des géants mondiaux comme Microsoft. Schrems, un Autrichien qui milite pour une meilleure protection de la vie privée, fait partie de ceux-là. Son ONG None Of Your Business (NOYB) a donc déposé une plainte auprès de APD, soit l’autorité de protection des données de notre pays, à la fin de la semaine dernière dit l’Echo. Selon Schrems, les données des clients européens aboutissent non seulement illégalement sur des serveurs américains via Bics, mais aussi que TeleSign (une filiale américaine de Proximus) obtient ces données à l’insu des fournisseurs de télécommunications. On notera que l’homme n’en est pas à son coup d’essai puisque c’est suite aux plaintes qu’il a déposées que Meta doit payer une amende de pas moins de 1,2 milliard d’euros.

Quel est le rapport entre Bics, Telesign et Proximus ?

BICS et TeleSign sont des filiales de l’opérateur national. Telesign est plus précisément une filiale américaine de Proximus. Peu connue des non-initiés, elle est pourtant considérée comme l’un des joyaux de l’entreprise, pour ne pas dire sa poule aux œufs d’or.

TeleSign a été acquise en 2017 pour 230 millions de dollars par BICS. En 2021, TeleSign sera même évalué à environ 1,3 milliard de dollars. Sa valeur vient du fait qu’elle est l’un des principaux acteurs de l’authentification et de l’identité numérique. Elle s’est notamment spécialisée dans ce qu’on appelle la double authentification. Soit un contrôle supplémentaire qui est effectué après s’être connecté avec un mot de passe classique. Celui-ci peut-être, par exemple, un code que l’on reçoit par SMS.

Pour que ce système fonctionne, l’entreprise attribue à chaque numéro de téléphone mobile dans le monde un score de fiabilité. Sur la base de ce score, le numéro peut se connecter sans problème, doit passer par des étapes de vérification supplémentaires ou est tout simplement rejeté. Pour établir ce score, et donc voir s’il ne s’agit pas d’un numéro frauduleux, Telesign a besoin de beaucoup de données pour affiner les algorithmes. Des données qu’a justement BICS en tant que centre de commutation d’appels international, précise De Standaard. Ou, comme Proximus le décrit sur son site, BICS est le « leader mondial dans le domaine des communications digitales, des services de communication dans le cloud, de mobilité et de l’IoT. »

Selon Le Soir, dans un article de mars 2022, Bics transmettrait ainsi chaque mois à Telesign les données de millions d’utilisateurs de téléphones dans le monde. De quoi vérifier jusqu’à 5 milliards de numéros de téléphone uniques par mois.

Une opération win-win, puisque le score ainsi obtenu par Telesign pour chaque numéro de téléphone est bien entendu monétisé auprès de ses clients. Ensemble, le duo Telesign et Bics générerait des centaines de millions de revenus pour Proximus chaque année.

Une amende hypothétique et lointaine

Il existe en Belgique des règles strictes en matière de protection de la vie privée. Or les experts affirment depuis longtemps que l’échange d’informations entre les deux sociétés est illégal, dit encore De Standaard. Pour rappel la plainte dénonce « des transferts de données privées entre Bics et TeleSign, sans en informer les utilisateurs, allant ainsi à l’encontre du RGPD ». D’autant plus que Telesign reste une entreprise américaine. Un point là aussi soulevé par Schrems.

Mais si Schrems a des arguments, rien n’indique qu’il aura gain de cause pour autant. Pour commencer, on ne sait toujours pas si la plainte est bel et bien recevable. L’ APD doit en effet encore statuer sur ce point. Si c’est effectivement le cas, et qu’elle n’est pas classée sans suite, la procédure risque de prendre des mois si pas des années. La sanction, si elle est prononcée un jour, n’est donc pas pour tout de suite.

Enfin, si au bout de cette procédure de longue haleine, on donne tout de même raison à Schrems, le montant de l’amende peut encore varier. Plus précisément, en vertu de la législation européenne sur la protection de la vie privée, cette amende pourrait s’élever à 4 % du chiffre d’affaires annuel. Or le montant va dépendre si l’on considère que le chiffre d’affaires concerné est celui de TeleSign, de BICS ou de Proximus. Pas vraiment un détail puisque cela peut changer significativement les montants précise encore L’Echo.

En 2022, le chiffre d’affaires de TeleSign s’est élevé à 473 millions d’euros, celui de BICS à 1,13 milliard et celui de Proximus à 5,91 milliards. Ce n’est donc que dans le pire des cas que Proximus devra payer une amende de 236 millions d’euros.

Chez Proximus, on étudie la plainte et on rappelle l’engament de l’entreprise à « toujours agir conformément à la législation en matière de protection de la vie privée », selon De Standaard..