Par deux décisions en date du 25 juin 2018, la CNIL a mis en demeure les sociétés FIDZUP et TEEMOO de se conformer au « RGPD  » et à la « Loi Informatique et Libertés  » dans un délai de trois mois. Ces décisions ont été déjà commentées dans l’un de nos précédents articles le 31 juillet 2018, compte tenu de la nature des manquements relevés par la CNIL.

Pour mémoire, la CNL avait notamment soulevé le défaut de recueil de consentement des personnes concernées au traitement de leurs données de géolocalisation à des fins publicitaires, le manquement à l’obligation de définition d’une durée de conservation desdites données et à l’obligation d’en assurer la sécurité et la confidentialité.

A la suite de la publication de ces mises en demeure, la CNIL avait déclaré qu’elle « sera amenée dans les mois à venir à porter une attention particulière aux différents intervenants de la chaine d’acteurs dans laquelle intervient l’utilisation du « SDK » ».
La CNIL a tenu ses engagements. Après les mises en demeure des sociétés TEEMO et FIDZUP, les sociétés SINGLESPOT et VECTAURY, startups du marketing mobile utilisant des données de géolocalisation à des fins publicitaires, ont été récemment visées par la CNIL (1) qui, quelques jours plus tôt, rendait une décision de clôture à l’égard de la société TEEMO, également riche en enseignements (2).

1) LES MISES EN DEMEURE DES SOCIETES SINGLESPOT ET VECTAURY PUBLIEES RESPECTIVEMENT LES 23 OCTOBRE 2018 ET 9 NOVEMBRE 2018 SUR LE SITE DE LA CNIL

Les sociétés SINGLESPOT et VECTAURY développent une offre de publicité ciblée « drive to store ». L’objectif est d’établir des profils de mobinautes afin de leur adresser de la publicité ciblée et ainsi les amener à se rendre dans un magasin partenaire.
En outre, la société VECTAURY traite également, à des fins de profilage et de ciblage publicitaire, des données de géolocalisation qu’elle reçoit via des offres d’enchères en temps réel initialement transmises dans le but de permettre à la société d’acheter un espace publicitaire.

A l’instar des sociétés TEEMO et FIDZUP, ces sociétés utilisent également la technologie du « SDK », qui permet de collecter des données personnelles même lorsque l’application n’est pas active. Ce « SDK » permet à la start-up de collecter l’identifiant publicitaire des smartphones et leurs données de géolocalisation, en fonction des périodes de temps fixées (ie toutes les 5 minutes sur le système d’exploitation Android) ou de la distance parcourue par l’utilisateur du smartphone (ie tous les 200 mètres pour les applications installées sur le système d’exploitation IOS).

Les sociétés SINGLESPOT et VECTAURY ont été mises en demeure de recueillir le consentement des personnes au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire. En effet, après vérification, la CNIL a constaté que les personnes concernées n’étaient pas systématiquement informées, lors du téléchargement des applications mobiles, qu’un « SDK » collectait leurs données de géolocalisation. Les utilisateurs n’étaient en effet informés ni de la finalité de ciblage publicitaire du traitement mis en œuvre, ni de l’identité du responsable de ce traitement.

La CNIL a également mis l’accent sur le fait que le consentement ne pouvait être univoque dans la mesure où il n’est pas possible pour l’utilisateur de télécharger l’application mobile sans activer le « SDK » ; ce qui avait également été soulevé par la CNIL concernant les sociétés TEEMO et FIDZUP.

En outre concernant la société SINGLESPOT, la CNIL a constaté un manquement à l’obligation de définition d’une durée de conservation des données. Tout comme la société TEEMO, la société SINGLESPOT avait défini une durée de conservation des données de géolocalisation d’une durée de 13 mois. La CNIL a considéré que cette durée de conservation est excessive au regard de sa finalité de profilage et de ciblage publicitaire, la conservation de telles informations constituant un risque d’atteinte à la vie privée.

Enfin, la CNIL a relevé, à l’égard de la société SINGLESPOT, un manquement à l’obligation d’assurer la sécurité et la confidentialité des données, et ce pour deux raisons :

 le compte administrateur permettant d’accéder à la base de données utilise un mot de passe de 16 caractères composé uniquement de majuscule, minuscule et chiffre, alors que la charte d’utilisation des systèmes d’information en date du 28 mai 2018 de ladite société préconise d’utiliser en sus des caractères spéciaux ;

 les équipes de développement de la société font des test de développement en utilisant les données présentes dans la base de données de production correspondant à des données à caractère personnel réelles, ce qui constitue un réel danger compte tenu de l‘instabilité de ces tests.

Ainsi, par la publication de cette mise en demeure, la CNIL rappelle qu’elle « porte une attention particulière aux différents intervenants de la chaine d’acteurs dans laquelle intervient l’utilisation du SDK » ainsi qu’à l’effectivité et à la cohérence des mesures de sécurité mises en œuvre.

Classiquement, les sociétés SINGLESPOT et VECTAURY ont trois mois pour se conformer à la loi «  Informatique et Libertés  » et au « RGPD  ». Aucune suite ne sera donnée à ces procédures si ces sociétés se mettent en conformité. La clôture de la procédure fera l’objet d’une publicité, à l’instar de la société TEEMO qui vient de voir clôturer sa mise en demeure.

2) LA CLOTURE DE LA MISE EN DEMEURE DE LA SOCIETE TEEMO LE 3 OCTOBRE 2018

A la suite de la mise en demeure par la CNIL pointant du doigt ses manquements, la société TEEMO a développé avec célérité des bannières s’affichant lors de l’installation des applications mobiles, et donc avant la collecte des données. Ces bannières permettent à la société TEEMO de recueillir un consentement libre, spécifique et éclairé des utilisateurs d’application conformément aux articles 4 et 7 du « RGPD ». Précisément, les personnes sont ainsi informées de la finalité du traitement, de l’identité des responsables de traitement et des données collectées.

Par ailleurs, les personnes concernées sont en mesure « d’accepter » ou de « refuser » que leurs données de géolocalisation soient traitées à des fins de publicités ciblées. En cas de refus, les données ne sont pas collectées par la société TEEMO et les personnes peuvent continuer à utiliser l’application sans que la qualité du service ne soit altérée.

Dans cette perspective, il sera intéressant de savoir quel sort sera réservé par la CNIL à la société FIDZUP.

* * *

Plus largement, se pose nécessairement la question des potentiels effets de ces décisions sur le secteur du SDK et plus largement sur l’économie, à la suite de l’application du « RGPD  ».

En effet, la plupart des applications, et tant d’autres, se sont construites sur un modèle économique très simple : l’application gratuite se rémunère par l’utilisation des données personnelles collectées, proposant ainsi des publicités ciblées.

Dès lors que le RGPD tend à encadrer la collecte des données personnelles, et in fine la limiter drastiquement en donnant la possibilité aux personnes concernées de refuser cette collecte tout en ayant la possibilité d’utiliser l’application, il faudra s’attendre à ce que ces applications, qui ne pourront plus se rémunérer grâce à l’utilisation des données personnelles, répercutent ce coût d’une autre manière.

En effet, la formule « si c’est gratuit, c’est que vous êtes le produit  » largement diffusée, puis reprise indéfiniment pour provoquer une prise de conscience générale, prend désormais tout son sens. Il existe toujours un prix à payer, reste à savoir si les utilisateurs opteront pour la gratuité qui implique la collecte de leurs données personnelles ou paieront le prix et préserveront leur vie privée. Il semblerait en effet que la gratuité et l’abandon de notre vie privée soient « l’avers et le revers d’une même médaille ».

Corinne THIERACHE
Associé
Responsable des départements IP / IT

Avec les remerciements à Sherazade HADDOU