C’est tout un pan de la publicité mobile qui est dans le viseur de la Cnil. Fidzup et Teemo deux jeunes pousses technologiques françaises de la géo-localisation mobile à but publicitaire sont mises en demeure par la Cnil de corriger l’absence de consentement des particuliers au recueil de leurs données.
Fidzup a été créé en 2011 et Teemo a été créé en 2014. Cette startup a changé de nom en 2017, elle s’appelait jusqu’alors Databerries. Les deux sociétés ont 3 mois pour se mettre en conformité avec la Cnil. C’est un sérieux coup de frein mis à leur développement.
Technologie SDK installée dans les smartphones
Fidzup et Teemo doivent recueillir explicitement le consentement des personnes au traitement de leurs données à des fins de ciblage publicitaire lorsque ces données sont recueillies par le biais d’une technologie (SDK) installée dans des applications mobiles tierces.
La Cnil a contrôlé les traitements mis en œuvre par Fidzup et Teemo qui collectent des données personnelles via les smartphones, afin de réaliser des campagnes publicitaires sur les mobiles.
Ces sociétés ont recours à des outils techniques dénommés « SDK ». Ces outils sont intégrés dans le code des applications mobiles de leurs partenaires, par exemple des éditeurs de contenu. Cela sert à collecter les données des utilisateurs des smartphones même lorsque ces applications ne sont pas en fonctionnement.
Collecte de la géo-localisation toutes les 5 minutes
Concernant Teemo, ce « SDK » collecte l’identifiant publicitaire des smartphones et les données de géo-localisation des personnes, environ toutes les cinq minutes. Ces données sont ensuite croisées avec des points d’intérêts déterminés par les clients de Teemo, qui sont les marques et les enseignes de magasins. Cela sert à afficher de la publicité ciblée sur les smartphones des personnes à partir des lieux qu’elles ont visités.
Collecte des identifiants publicitaires et de l’identifiant du téléphone
Teemo et Fidzup indiquent traiter ces données avec le consentement des personnes concernées. La Cnil affirme que ses vérifications montrent que le consentement n’est pas recueilli comme la loi l’exige.
Absence d’information de l’installation du SDK
En effet, avec Teemo, les personnes ne sont pas informées, lors du téléchargement des applications mobiles partenaires, telles que celles proposées par Le Figaro, L’Équipe, Météo France, Closer, etc, qu’un « SDK » collectant leurs données, et notamment leurs données de localisation, y est intégré.
Absence d’information sur la finalité et le responsable du traitement
Pour ces deux sociétés, il n’est pas possible, pour l’utilisateur, de télécharger l’application mobile sans le « SDK ». Les deux sont indissociables. L’utilisation des applications a pour conséquence automatique la transmission de données aux sociétés.
Le rôle du SDK n’est pas connu
Enfin, la Cnil constate que s’il est effectivement demandé aux personnes de consentir au traitement de leurs données de géo-localisation lors de l’installation des applications mobiles, cette action ne concerne que l’utilisation des données par cette application. Elle ne saurait donc être considérée comme un consentement à la collecte des données à des fins publicitaires via les « SDK ».
Les données peuvent être regardées comme traitées à l’insu des utilisateurs, sans le consentement préalable requis par la loi du 6 janvier 1978 et, désormais, par le Règlement général sur la protection des données (RGPD), qui conforte les exigences applicables au consentement.
La Cnil a par ailleurs constaté que Teemo conserve les données de localisation des personnes pendant 13 mois, ce qui est contraire à l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement.
La géo-localisation est intrusive
La Cnil considère l’utilisation de dispositifs de géo-localisation comme étant particulièrement intrusive au regard des libertés individuelles, dans la mesure où ils permettent de suivre de manière permanente et en temps réel des personnes. Ainsi, la Cnil estime que les données de géo-localisation ne peuvent être conservées que pour une durée strictement proportionnée à la finalité du traitement qui a justifié cette géo-localisation, ce qui n’est pas le cas en l’espèce.
En conséquence, la Cnil met en demeure Fidzup et Teemo de se conformer à la loi « Informatique et Libertés » et au RGPD dans un délai de trois mois. La CNIL sera amenée dans les mois à venir à porter une attention particulière aux différents intervenants de la chaine d’acteurs dans laquelle intervient l’utilisation du SDK.
Il appartient aux sociétés concernées par la mise en demeure de recueillir le consentement des utilisateurs dans les conditions prévues par la loi, et de définir une durée de conservation adéquate, pour que leur activité soit pleinement conforme aux textes. Aucune suite ne sera donnée à ces procédures si les sociétés se mettent en conformité. La clôture des procédures fera alors l’objet d’une publicité. Si les sociétés ne se conforment pas à ces mises en demeure dans le délai imparti, la Cnil pourra prononcer une sanction.
