Absence de consentement des personnes au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire : la Cnil avait invoqué ce motif pour ouvrir, fin juin, une procédure de mise en demeure à l’encontre de Teemo (ex-Databerries).
Le dossier est clos depuis le 3 octobre, l’entreprise française s’étant conformée à la loi.
Ce n’est pas le cas de son compatriote Singlespot, épinglé pour le même manquement.
Trois mois lui sont laissés pour modifier ses méthodes de recueil du consentement des utilisateurs.
Le consentement en question porte sur la collecte de données de géolocalisation par l’intermédiaire d’un SDK intégré dans les applications mobiles d’une quinzaine de partenaires (essentiellement des éditeurs de presse). L’opération s’effectue soit à périodes de temps fixe (toutes les 5 minutes sur Android), soit selon la distance parcourue (tous les 200 mètres sur iOS).
Leur croisement avec des « points d’intérêt » (typiquement, les coordonnées géographiques de commerces) alimentent des campagnes marketing pour le compte d’annonceurs.
Lors d’une mission de contrôle effectuée le 29 mai 2018, la Cnil avait constaté la présence, dans la base de données de l’entreprise, de 14 344 760 identifiants publicitaires distincts. Plus de 5 millions étaient associés à des données de géolocalisation.
Singlespot affirme disposer du consentement des personnes concernées pour traiter ces informations.
La Cnil estime que ce n’est pas le cas. En premier lieu parce que les utilisateurs ne sont pas spécifiquement informés du fait qu’autoriser le système à accéder aux données de géolocalisation entraîne leur transmission à Singlespot.
Pour clarifier la situation après le contrôle, un avenant a été apporté aux contrats avec les partenaires. Ces derniers sont chargés d’informer les utilisateurs « selon une formulation et un format à convenir avec Singlespot ».
Une initiative que la Cnil juge insuffisante : elle ne fixe pas les exigences concrètes et précises de la forme dans laquelle le consentement de l’utilisateur devra être recueilli.
La politique de confidentialité des applications ne suffit en outre pas, car Singlespot n’impose qu’une seule référence à sa société. En outre, l’information est tardive : elle n’est accessible qu’après collecte des données. On ne peut par ailleurs consentir spécifiquement à la collecte et à l’utilisation à des fins publicitaires : le tout ne peut être accepté ou refusé qu’en bloc.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…