La Cnil vient de mettre en demeure deux sociétés spécialisées dans le ciblage publicitaire sur mobile. Lors de ses contrôles, l'autorité a notamment constaté que le consentement des utilisateurs n'était pas recueilli avant de procéder au traitement de leurs données de géolocalisation.
Les deux sociétés concernées se nomment Teemo et Fidzup. Elles partagent une même spécialité : le ciblage publicitaire mobile croisé avec des données de géolocalisation. Pour identifier les utilisateurs et leurs centres d'intérêt, elles s'appuient toutes deux sur des applications partenaires, qui se chargent de transmettre l'identifiant publicitaire du terminal. Dans le cas de Teemo, la géolocalisation est aussi fournie directement par l'appareil, au travers de l'application partenaire. Pour Fidzup, c'est un boîtier placé dans les points de ventes des annonceurs qui, en mesurant l'intensité du signal Wi-Fi capté par l'utilisateur, détermine la position de ce dernier et déclenche le cas échéant l'affichage d'une publicité ciblée.
En soi, cette forme de collecte et de traitement de données n'est pas illicite. Sauf qu'en dépit de leurs affirmations concernant le respect de la réglementation, les deux sociétés n'ont pas été en mesure de montrer patte blanche lors des contrôles menés par la Cnil. En vrac, l'autorité a constaté des défauts d'information lors de l'installation d'applications partenaires (tant concernant la finalité du traitement que ses responsables), l'impossibilité d'installer ces applications sans les dispositifs de suivi (SDK) et l'existence de la collecte et du traitement avant et donc sans le recueil d'une quelconque forme de consentement. Dans le cas de Teemo, elle a aussi observé une durée de conservation des données de géolocalisation de 13 mois, ce qu'elle considère disproportionné au regard de la finalité du traitement et de la nature sensible des données de géolocalisation des individus. Teemo enregistrait, au moment du contrôle, la position des utilisateurs suivis toutes les cinq minutes, peu importe que l'application partenaire ait été lancée ou non.
Trois mois pour se mettre en conformité avec le RGPD
C'est donc sans surprise que la Cnil a prononcé fin juin son habituelle mise en demeure. Les deux sociétés, Teemo et Fidzup, ont un délai de trois mois pour se mettre en conformité avec le RGPD (règlement général sur la protection des données) et la loi dite Informatique et Libertés, ce qui implique concrètement "de recueillir le consentement des utilisateurs dans les conditions prévues par la loi, et de définir une durée de conservation adéquate". La décision a été rendue publique eu égard à la gravité des manquements et au nombre de personnes concernées par la collecte et le traitement illicite. Comme toujours, "a?ucune suite ne sera donnée à ces procédures si les sociétés se mettent en conformité". Dans le cas contraire, la Cnil pourra prononcer une sanction.Notez que, sur son site, Teemo se dit "transparent" sur les données utilisées et assure les exploiter "dans le respect de la loi en vigueur et [suivre] les recommandations de la CNIL". Toujours d'après son site, la société "demande le consentement des mobinautes pour la collecte des données et ils peuvent gérer leurs préférences à tout moment". Ces données sont par ailleurs "protégées conformément aux recommandations de la CNIL [...] et ne sont pas conservées plus de 13 mois".
Lire la suite : Pistage mobile non consenti : la Cnil met en demeure Teemo et Fidzup