Applications mobiles : mises en demeure pour absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire

19 juillet 2018

La Présidente de la CNIL met en demeure les sociétés FIDZUP et TEEMO de recueillir le consentement des personnes au traitement de leurs données à des fins de ciblage publicitaire par le biais d’une technologie (SDK) installée dans des applications mobiles.

La CNIL a contrôlé les traitements de données mis en œuvre par les sociétés FIDZUP et TEEMO qui ont recours à des technologies permettant de collecter des données personnelles via les smartphones, et de réaliser des campagnes publicitaires sur les mobiles.

Ces sociétés ont recours à des outils techniques dénommés « SDK ». Ces outils sont  intégrés dans le code d’applications mobiles de leurs partenaires. Ils leur permettent de collecter les données des utilisateurs des smartphones même lorsque ces applications ne sont pas en fonctionnement.

S’agissant de la société TEEMO, ce « SDK » permet de collecter l’identifiant publicitaire des smartphones et les données de géolocalisation des personnes, environ toutes les cinq minutes. Ces données sont ensuite croisées avec des points d’intérêts déterminés par les partenaires (enseignes de magasins). Ils permettent d’afficher de la publicité ciblée sur les smartphones des personnes à partir des lieux qu’elles ont visités.

La société FIDZUP, quant à elle, installe un « SDK » au sein d’applications mobiles partenaires qui collecte les identifiants publicitaires mobiles et l’adresse MAC du smartphone. En parallèle, la société installe dans les points de vente partenaires des dispositifs « FIDBOX » permettant de collecter des données relatives à l’adresse MAC et à la puissance du signal WIFI des smartphones. Les données ainsi collectées sont croisées et leur traitement permet à la société d’effectuer de la prospection publicitaire géolocalisée sur les smartphones des personnes lors de leur passage à proximité d’un point de vente client de la société FIDZUP.

Un manquement à l’obligation de recueil du consentement

Les sociétés TEEMO et FIDZUP indiquent traiter ces données avec le consentement des personnes concernées.

Toutefois, les vérifications de la CNIL ont conduit à relever que le consentement n’est pas recueilli comme la loi l’exige.

En effet, tout d’abord, concernant la société TEEMO, les personnes ne sont pas informées, lors du téléchargement des applications mobiles partenaires, qu’un « SDK » permettant de collecter leurs données, et notamment leurs données de localisation, y est intégré.

S’agissant de la société FIDZUP, il ressort des contrôles effectués sur plusieurs applications mobiles qu’au moment de l’installation de l’application, l’utilisateur n’est informé ni de la finalité de ciblage publicitaire du traitement mis en œuvre, ni de l’identité du responsable de ce traitement. En outre, l’information fournie aux personnes dans les conditions générales d’utilisation des applications ou sur des affiches en magasins intervient après la collecte et le traitement des données, alors que le consentement suppose une information préalable.

Par ailleurs, concernant ces deux sociétés, il n’est pas possible, pour l’utilisateur, de télécharger l’application mobile sans le « SDK ». Les deux sont indissociables : l’utilisation des applications a pour conséquence automatique la transmission de données aux sociétés.

Enfin, la CNIL a constaté que s’il est effectivement demandé aux personnes de consentir au traitement de leurs données de géolocalisation lors de l’installation des applications mobiles, cette action ne concerne que l’utilisation des données par cette application. Elle ne saurait donc valoir consentement à la collecte des données à des fins publicitaires via les « SDK ».

Au regard de ce qui précède, les données peuvent être regardées comme traitées à l’insu des utilisateurs, sans le consentement préalable requis par la loi du 6 janvier 1978 et, désormais, par le Règlement général sur la protection des données (RGPD), qui conforte d’ailleurs les exigences applicables au consentement.

Un manquement à l’obligation de définition d’une durée de conservation

La CNIL a par ailleurs constaté que la société TEEMO conserve les données de localisation des personnes pendant 13 mois, ce qui est contraire à l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement.

En effet, l’utilisation de dispositifs de géolocalisation est particulièrement intrusive au regard des libertés individuelles, dans la mesure où ils permettent de suivre de manière permanente et en temps réel des personnes. Ainsi, la CNIL estime que les données de géolocalisation ne peuvent être conservées que pour une durée strictement proportionnée à la finalité du traitement qui a justifié cette géolocalisation, ce qui n’est pas le cas en l’espèce.

Au regard des manquements constatés, la Présidente de la CNIL a décidé de mettre en demeure les sociétés FIDZUP et TEEMO de se conformer à la loi « Informatique et Libertés » et au RGPD dans un délai de trois mois.

En outre, au regard de la nature des manquements, du nombre de personnes concernées par ces traitements et de la nécessité de sensibiliser les professionnels du secteur sur les enjeux liés au recours à ce type de technologie, la CNIL a décidé de rendre publique ces mises en demeure. Plus généralement, elle sera amenée dans les mois à venir à porter une attention particulière aux différents intervenants de la chaine d’acteurs dans laquelle intervient l’utilisation du SDK.

Aujourd’hui, Il appartient aux sociétés concernées par la mise en demeure de recueillir le consentement des utilisateurs dans les conditions prévues par la loi, et de définir une durée de conservation adéquate, pour que leur activité soit pleinement conforme aux textes. Aucune suite ne sera donnée à ces procédures si les sociétés se mettent en conformité. La clôture des procédures fera alors l'objet d'une publicité.

Si les sociétés ne se conforment pas à ces mises en demeure dans le délai imparti, la Présidente saisira la formation restreinte de la CNIL, qui pourra prononcer une sanction.

Les mots clés associés à cet article