Applications mobiles : mises en demeure pour absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire

23 octobre 2018

La Présidente de la CNIL met en demeure la société SINGLESPOT de recueillir le consentement des personnes au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire par le biais des applications mobiles.

La CNIL a contrôlé les traitements de données mis en œuvre par la société SINGLESPOT qui a recours à des technologies permettant de collecter des données personnelles via les smartphones, et de réaliser des campagnes publicitaires sur les mobiles.

Cette société a recours à des outils techniques dénommés « SDK ». Ces outils sont  intégrés dans le code d’applications mobiles de leurs partenaires. Ils lui permettent de collecter les données des utilisateurs des smartphones même lorsque ces applications ne sont pas en fonctionnement.

Ce « SDK » permet de collecter l’identifiant publicitaire des smartphones et les données de géolocalisation des personnes, soit à des périodes de temps fixe (toutes les cinq minutes), soit selon la distance parcourue (tous les deux cents mètres). Ces données sont ensuite croisées avec des points d’intérêts déterminés par les partenaires (enseignes de magasins) afin d’afficher de la publicité ciblée sur les smartphones des personnes à partir des lieux qu’elles ont visités.

Un manquement à l’obligation de recueil du consentement sur les données provenant des SDK

La société SINGLESPOT indique traiter ces données avec le consentement des personnes concernées.

Toutefois, les vérifications de la CNIL ont permis de constater que le consentement n’est pas valablement recueilli.

Tout d’abord, les personnes ne sont pas systématiquement informées, lors du téléchargement des applications mobiles, qu’un « SDK » collecte leurs données de localisation. Il ressort des contrôles effectués qu’au moment de l’installation de l’application, l’utilisateur n’est informé ni de la finalité de ciblage publicitaire du traitement mis en œuvre, ni de l’identité du responsable de ce traitement. En outre, l’information fournie aux personnes dans les conditions générales d’utilisation des applications intervient après la collecte et le traitement des données, alors que le consentement suppose une information préalable.

Il n’est par ailleurs pas toujours possible, pour l’utilisateur, de télécharger l’application mobile sans activer le « SDK ». Lorsque les deux sont indissociables, l’utilisation des applications a pour conséquence automatique la transmission de données à la société SINGLESPOT.

Enfin, la CNIL a constaté que, pour certaines applications, le consentement recueilli par le système d’exploitation du téléphone ne distingue pas l’utilisation des données de géolocalisation pour les fonctionnalités de l’application et pour l’affichage publicitaire.

La société a récemment proposé la mise en place d’un système de recueil du consentement renforçant l’information de l’utilisateur. Néanmoins, la CNIL observe que ce système n’est pas systématiquement implanté dans les applications et qu’il n’est toujours pas satisfaisant notamment car la collecte des données de géolocalisation à des fins de ciblage ne peut pas être clairement refusée.

En conséquence, les données sont toujours traitées sans le consentement des utilisateurs.

Un manquement à l’obligation de définition d’une durée de conservation des données et d’en assurer la sécurité et la confidentialité

La CNIL a constaté que la société SINGLESPOT n’avait pas défini de durée de conservation et assuré la sécurité et la confidentialité des données.

Au regard des manquements constatés, la Présidente de la CNIL a décidé de mettre en demeure la société SINGLESPOT de se conformer à la loi « Informatique et Libertés » dans un délai de trois mois.

Au regard de la nature des manquements, du nombre de personnes concernées par ces traitements et de la nécessité de sensibiliser les professionnels du secteur sur les enjeux liés au recours à ce type de technologie, la CNIL a décidé de rendre publique ces mises en demeure. Comme elle l’avait précédemment annoncé, la CNIL porte une attention particulière aux différents intervenants de la chaine d’acteurs dans laquelle intervient l’utilisation du SDK.

Aujourd’hui, il appartient à la société concernée par la mise en demeure de recueillir le consentement des utilisateurs dans les conditions prévues par la loi, de définir une durée de conservation adéquate, et d’assurer la sécurité des données pour que leur activité soit pleinement conforme aux textes. Aucune suite ne sera donnée à ces procédures si la société se met en conformité. La clôture de la procédure fera alors l'objet d'une publicité.

Si la société ne se conforme pas à ces mises en demeure dans le délai imparti, la Présidente saisira la formation restreinte de la CNIL, qui pourra prononcer une sanction.

Les mots clés associés à cet article