Petit à petit, les règles du jeu se clarifient pour la géo-localisation des mobiles à des fins publicitaires. Aujourd’hui c’est au tour de la startup Singlespot, créée en 2015 et hébergée chez le Village by CA, l’incubateur du Crédit Agricole de se faire taper sur les doigts par la Cnil. Mais que faisaient les juristes du Crédit Agricole pour ne pas avoir détecté qu’il y avait des problèmes avec les méthodes employées par Singlespot ?
Recueillir explicitement le consentement des personnes
Singlespot est mis en demeure par la Cnil de recueillir le consentement des personnes au traitement de leurs données de géo-localisation à des fins de ciblage publicitaire par le biais des applications mobiles. L’outil technique d’enregistrement des données de localisation – ce que les experts appellent un SDK – de Singlespot est placé dans le code des applications mobiles de ses partenaires. Cet outil permet de collecter les données des utilisateurs des smartphones même lorsque ces applications ne sont pas en fonctionnement, relève la Cnil.
Ce SDK permet de collecter l’identifiant publicitaire des smartphones et les données de géo-localisation des personnes, soit à des périodes de temps fixe (toutes les cinq minutes), soit selon la distance parcourue (tous les deux cents mètres). Ces données sont ensuite croisées avec des points d’intérêts déterminés par les partenaires (enseignes de magasins) afin d’afficher de la publicité ciblée sur les smartphones des personnes à partir des lieux qu’elles ont visités.
Si Singlepost indique traiter ces données avec le consentement des personnes concernées, la Cnil considère que le consentement n’est pas valablement recueilli.
L’information doit être préalable et complète
Tout d’abord, les personnes ne sont pas systématiquement informées, lors du téléchargement des applications mobiles, qu’un « SDK » collecte leurs données de localisation. L’utilisateur n’est informé ni de la finalité de ciblage publicitaire du traitement mis en œuvre, ni de l’identité du responsable de ce traitement. En outre, l’information fournie aux personnes dans les conditions générales d’utilisation des applications intervient après la collecte et le traitement des données, alors que le consentement suppose une information préalable.
Il n’est par ailleurs pas toujours possible, pour l’utilisateur, de télécharger l’application mobile sans activer le SDK. Lorsque les deux sont indissociables, l’utilisation des applications a pour conséquence automatique la transmission de données à la société Singlepost.
Enfin, la CNIL a constaté que, pour certaines applications, le consentement recueilli par le système d’exploitation du téléphone ne distingue pas l’utilisation des données de géo-localisation pour les fonctionnalités de l’application et pour l’affichage publicitaire.
Le refus du ciblage publicitaire est impossible
Singlepost a proposé la mise en place d’un système de recueil du consentement renforçant l’information de l’utilisateur. Néanmoins, la Cnil observe que ce système n’est pas systématiquement implanté dans les applications et qu’il n’est toujours pas satisfaisant notamment car la collecte des données de géo-localisation à des fins de ciblage ne peut pas être clairement refusée. Par ailleurs, Singlepost n’a pas défini de durée de conservation ni assuré la sécurité et la confidentialité des données.
Au regard des manquements constatés, Singlepost a 3 mois pour se conformer à la loi « Informatique et Libertés ». La CNIL souligne qu’elle porte une attention particulière aux différents intervenants de la chaine d’acteurs dans laquelle intervient l’utilisation du SDK.
Aujourd’hui, il appartient à la société concernée par la mise en demeure de recueillir le consentement des utilisateurs dans les conditions prévues par la loi, de définir une durée de conservation adéquate, et d’assurer la sécurité des données pour que leur activité soit pleinement conforme aux textes. Aucune suite ne sera donnée à ces procédures si la société se met en conformité. La clôture de la procédure fera alors l’objet d’une publicité.