La CNIL réexplique le consentement libre et explicite dans deux mises en demeure

La CNIL a adressé hier des mises en demeure à deux sociétés qui ont effectué des traitements de données de géolocalisations à des fins publicitaires, sans le consentement des personnes concernées. Ce n’est pas encore la première décision mettant en application le RGPD, mais la date des faits s’en approche.

Teemo (ex Databerries) a pour spécialisation les publicités interstitielles sur smartphones selon la géolocalisation de leurs détenteurs. Elle peut également mesurer les visites dans les points de vente de ses partenaires.

La société avait fait l’objet de contrôles sur place par la CNIL en octobre 2017, où la commission découvrait un peu mieux les rouages de son système reposant sur un SDK (kit de développement logiciel) destiné à collecter les données de géolocalisation outre l’identifiant publicitaire généré par le système d’exploitation du smartphone.

Ces bouts de code sont ensuite intégrés dans les applications mobiles des partenaires. La suite est simple : ces informations sont croisées avec les points d’intérêts, presque en temps réel puisque la géolocalisation est mise à jour toutes les vingt minutes.

Lors de son contrôle, la CNIL a repéré qu’en une seule journée, 1,6 million d’identifiants publicitaires avaient été associés aux données de géolocalisation. En tout, près de 14 millions d’identifiants publicitaires distincts avaient été collectés sur les treize derniers mois, représentant autant de smartphones.

Défaut d’information

Seulement, remarque la CNIL, « lorsque l’utilisateur d’un smartphone valide l’autorisation d’accès à ses données de géolocalisation pour le fonctionnement de l’application, ses données sont également transmises à la société Teemo sans qu’il en soit informé et sans que son consentement ne soit recueilli pour cette transmission ». Et ce même lorsque l’utilisateur est situé en dehors du périmètre d’un point d’intérêts.

Les données sont ensuite conservées durant 13 mois, dans une base hébergée par Google Cloud, suite à un contrat passé avec l’entreprise américaine, qui « ne prévoit pas de clauses relatives à la sécurité et à la confidentialité des données ».

La CNIL, qui n’a eu aucun mal à identifier Teemo comme responsable d’un traitement de données personnelles, a réexpliqué que le consentement devait être donné « par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord ».

Un consentement non libre, non explicite

Cette obligation de la loi CNIL passe d’abord par une nécessaire information. Ici, les utilisateurs ne peuvent télécharger l’application sans le SDK. « Ce traceur est donc indissociable des applications partenaires. En conséquence, les utilisateurs des applications mobiles ne sont pas libres de consentir au traitement des données de géolocalisation réalisé par la société Teemo, à partir des données transmises par les applications, l’utilisation de ces dernières impliquant automatiquement la transmission de données à ladite société ».

La société a bien répondu qu’elle obligeait contractuellement ses partenaires à informer explicitement les utilisateurs de l’usage des données de géolocalisation, mais pour la commission,  c’est insuffisant. L’information n’est pas nécessairement systématique outre qu’elle intervient trop tardivement, après l’installation de l’application (et du SDK) et donc après la collecte des données à des fins publicitaires.

Pire : « lorsqu’un nouveau partenariat est conclu avec une société, le SDK est intégré au smartphone du mobinaute à l’occasion d’une mise à jour de l’application si celle-ci est déjà téléchargée. Or, à cette occasion les nouvelles conditions générales d’utilisation ou politiques de vie privée des applications ne sont pas directement portées à la connaissance des mobinautes ».

Enfin, sur la durée du traitement, la CNIL lui a reproché de conserver les informations de géolocalisation pour une durée disproportionnée. « La société ne peut justifier la conservation de l’intégralité des données de géolocalisation des personnes, durant treize mois, au motif que certains de ses partenaires pourraient avoir besoin de connaître les lieux visités par les mobinautes sur cette période » souligne la délibération, avançant un risque d’atteinte à la vie privée.

Le couplage application et SDK

Le modèle d’affaires de Fidzup est similaire : des mesures de fréquentation et d’analyse du comportement des consommateurs dans les magasins. Des publicités ciblées sont adressées à personnes physiques localisées à proximité des points de vente de ses clients annonceurs, équipés d’un dispositif de remontée d’informations WI-FI nommé FIDBOX.

Le DSK prévoit de collecter l’identifiant publicitaire et l’adresse MAC des smartphones sous Android. Ce couplage permet d’adresser des annonces selon la géolocalisation des utilisateurs. Près de 6 millions d’identifiants publicitaires ont été collectés par la société, selon les constatations de la CNIL effectuées sur place en septembre 2017.

Les défauts adressés à la première société se retrouvent ici : information très laconique des personnes quant à la collecte et au ciblage publicitaire lors de l’installation ou l’utilisation des applications. Il y a bien un message qui leur demande d’autoriser l’accès à la position de l’appareil, mais elles ne peuvent deviner le ciblage publicitaire organisé en coulisse.

La société a bien fait en sorte qu’une notice soit affichée dans les magasins équipés de Fidbox, mais cette information est jugée trop tardive : « elle n’est accessible aux personnes qu’après l’installation de l’application et du SDK et donc une fois leurs données déjà traitées par la société Fidzup ». En outre, la notice ne peut être lue que lorsque les personnes concernées se trouvent dans le magasin.

Identiquement, la question du consentement ne trouve pas de réponse satisfaisante. « Les applications des éditeurs partenaires qui utilisent le SDK n’existent pas dans une version sans celui-ci et (…) par conséquent, les personnes ne peuvent télécharger les applications mobiles sans télécharger le SDK. Ce traceur est donc indissociable des applications partenaires ».

Un avant-goût du RGPD

Les utilisateurs ne sont donc pas libres de consentir dans cette stratégie du tout ou rien, de plus ils « sont amenés à valider l’autorisation de la collecte de leurs données, y compris de localisation, uniquement pour l’utilisation de l’application mobile téléchargée ». Le consentement n’est donc ni libre ni spécifique.

Teemo et Fidzup ont désormais trois mois pour effectuer le ménage de rigueur. À défaut, la CNIL dirigera la procédure vers le couloir des sanctions. Pour peser davantage, les deux délibérations ont été rendues publiques par la formation restreinte. Elles sont intéressantes, car elles esquissent finalement la façon dont la CNIL analysera le respect du consentement sous le prisme du RGPD. Le règlement reprend en effet les principes de base ici bafoués.

La CNIL réexplique le consentement libre et explicite dans deux mises en demeure : Lire l’article complet sur Next INpact – Flux RSS complet