Fidzup et Teemo mises en demeure par la Cnil
La Cnil annonce la mise en demeure des start-up de ciblage publicitaire Fidzup et Teemo, en raison de l'exploitation des données de géolocalisation d'utilisateurs de smartphones à des fins de ciblage publicitaire, et ce, sans recueil de leur consentement.
Je m'abonneFidzup et Teemo devront désormais recueillir explicitement le consentement des internautes quant à l'utilisation de leurs données de géolocalisation à des fins de ciblage publicitaire. La Cnil a annoncé, le 19 juillet, la mise en demeure des deux spécialistes du Web-to-store pour avoir eu recours à la technologie SDK installée dans le code des applications mobiles de leurs partenaires - ce qui leur permet de collecter les données personnelles des utilisateurs des Smartphones, même lorsque ces applications ne sont pas en fonctionnement, et de réaliser des campagnes publicitaires sur mobile en fonction de la localisation des utilisateur. Les deux start-up devront se conformer à la loi "Informatique et Libertés" et au RGPD dans un délai de trois mois, sous peine de sanctions.
En pratique, note la Cnil, le "SDK" utilisé par la start-up Teemo lui permet de collecter l'identifiant publicitaire des Smartphones et les données de géolocalisation des personnes, environ toutes les cinq minutes. Ces data sont ensuite croisées avec des points d'intérêts déterminés par les partenaires (les enseignes). Ainsi, une publicité ciblée vient s'afficher sur les portables des personnes à partir des lieux qu'elles ont visités. La société Fidzup installe, quant à elle un "SDK" au sein d'applications mobiles partenaires "qui collecte les identifiants publicitaires mobiles et l'adresse MAC du smartphone. En parallèle, la société installe dans les points de vente partenaires des dispositifs "Fidbox" permettant de collecter des données relatives à l'adresse MAC et à la puissance du signal WIFI des smartphones, explique la Cnil. Les données ainsi collectées sont croisées et leur traitement permet à la société d'effectuer de la prospection publicitaire géolocalisée sur les Smartphones des personnes lors de leur passage à proximité d'un point de vente client de la société Fidzup".
Absence de consentement et durée de conservation trop longue
Problème, selon l'autorité de contrôle, le traitement de ces données n'est pas réalisé avec le consentement des personnes concernées - contrairement à ce qu'affirment Fidzup et Teemo. Les deux sociétés collectent bien le consentement des utilisateurs lors du téléchargement de l'application, mais uniquement dans le cadre de l'utilisation des données par l'application. Ainsi, pour Teemo, la Cnil relève que les personnes ne sont pas informées, lors du téléchargement des applications mobiles partenaires, que leurs données de localisation sont collectées. Pour Fidzup, au moment de l'installation de l'application, l'utilisateur n'est informé ni de la finalité du ciblage publicitaire, ni de l'identité du responsable de traitement de leurs données personnelles. De plus, l'information aux utilisateurs intervient après la collecte et le traitement des données, or elle doit leur être "préalable". Enfin, l'utilisation des applications a pour conséquence automatique la transmission de données aux deux sociétés. Teemo et Fidzup ne répondent donc pas aux exigences de la loi du 6 janvier 1978, désormais confortées par le Règlement général sur la protection des données (RGPD).
"Cette nouvelle est plutôt positive, car elle va permettre de clarifier les choses : cette mise en demeure est liée à un contrôle effectué à l'été 2017, quand nous n'étions encore qu'au début du travail de mise en conformité que nous avons finalisé avant l'entrée en vigueur du RGPD. Nous avons depuis terminé le nouveau pop-up de récolte du consentement demandé par la CNIL et l'avons prescrit à 100% de nos éditeurs partenaires. Nous allons donc notifier la CNIL en ce sens et attendrons qu'elle statue", explique Olivier Magnan-Saurin, co-fondateur de Fidzup.
La Cnil a par ailleurs constaté que la société Teemo conserve les données de localisation des personnes pendant 13 mois, ce qui est contraire à l'obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement (ici celle qui a justifié la géolocalisation).
L'autorité de contrôle annonce également qu'elle portera une attention particulière, dans les prochains mois, aux différents intervenants de la chaine d'acteurs dans laquelle intervient l'utilisation du SDK.
Pour aller plus loin :
- RGPD : comment obtenir le consentement explicite ?
- [Infographie] Le recueil du consentement, principal défi des marques