RGPD : la Cnil épingle un nouveau cas de publicité ciblée géolocalisée
Peu après avoir clos une procédure de mise en demeure contre une société collectant des données de géolocalisation, la Cnil en ouvre une autre.
Absence de consentement des personnes au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire : la Cnil avait invoqué ce motif pour ouvrir, fin juin, une procédure de mise en demeure à l’encontre de Teemo (ex-Databerries).
Le dossier est clos depuis le 3 octobre, l’entreprise française s’étant conformée à la loi.
Ce n’est pas le cas de son compatriote Singlespot, épinglé pour le même manquement.
Trois mois lui sont laissés pour modifier ses méthodes de recueil du consentement des utilisateurs.
Le consentement en question porte sur la collecte de données de géolocalisation par l’intermédiaire d’un SDK intégré dans les applications mobiles d’une quinzaine de partenaires (essentiellement des éditeurs de presse). L’opération s’effectue soit à périodes de temps fixe (toutes les 5 minutes sur Android), soit selon la distance parcourue (tous les 200 mètres sur iOS).
Leur croisement avec des « points d’intérêt » (typiquement, les coordonnées géographiques de commerces) alimentent des campagnes marketing pour le compte d’annonceurs.
Consentement : une base ébranlée
Lors d’une mission de contrôle effectuée le 29 mai 2018, la Cnil avait constaté la présence, dans la base de données de l’entreprise, de 14 344 760 identifiants publicitaires distincts. Plus de 5 millions étaient associés à des données de géolocalisation.
Singlespot affirme disposer du consentement des personnes concernées pour traiter ces informations.
La Cnil estime que ce n’est pas le cas. En premier lieu parce que les utilisateurs ne sont pas spécifiquement informés du fait qu’autoriser le système à accéder aux données de géolocalisation entraîne leur transmission à Singlespot.
Pour clarifier la situation après le contrôle, un avenant a été apporté aux contrats avec les partenaires. Ces derniers sont chargés d’informer les utilisateurs « selon une formulation et un format à convenir avec Singlespot ».
Une initiative que la Cnil juge insuffisante : elle ne fixe pas les exigences concrètes et précises de la forme dans laquelle le consentement de l’utilisateur devra être recueilli.
La politique de confidentialité des applications ne suffit en outre pas, car Singlespot n’impose qu’une seule référence à sa société. En outre, l’information est tardive : elle n’est accessible qu’après collecte des données. On ne peut par ailleurs consentir spécifiquement à la collecte et à l’utilisation à des fins publicitaires : le tout ne peut être accepté ou refusé qu’en bloc.