La Cnil clôt les mises en demeure prononcées à l’encontre des sociétés FIDZUP et SINGLESPOT collectant des données de géolocalisation à des fins de ciblage publicitaire.
Le 29 novembre 2018, la Cnil (Commission nationale de l’informatique et des libertés) a levé les mises en demeure prononcées à l’encontre des sociétés FIDZUP et SINGLESPOT, prononcées respectivement les 19 juillet et 23 octobre 2018, lesquelles avaient manqué à leur obligation de recueillir le consentement des utilisateurs des applications mobiles fournies par leurs partenaires et par lesquelles elles collectent des données de géolocalisation à des fins de ciblage publicitaire.
Les sociétés FIDZUP et SINGLESPOT proposent des services pour la réalisation de campagnes publicitaires mobiles grâce aux données de géolocalisation recueillies par leurs logiciels SDK (« Software Development Kit ») intégrés dans ces applications mobiles. Les données de géolocalisation collectées sont ensuite croisées avec les points d’intérêts (les magasins de partenaires et de concurrents fréquemment visités) de l’utilisateur du smartphone, afin d’obtenir son profil personnalisé. Cet utilisateur recevra, par la suite, et grâce à ce système, des publicités ciblées.
L’information des personnes concernées quant à la mise en place d’un traitement de données de géolocalisation à des fins de ciblage publicitaire
Au regard du caractère particulièrement intrusif des traitements de données de géolocalisation à des fins de ciblage publicitaire dans la vie privée des utilisateurs, il est nécessaire de recueillir le consentement de ces derniers avant de procéder à de tels traitements. Cela peut se formaliser par la mise en place d’une fenêtre contextuelle (« pop-up ») ou une bannière contenant une information claire et une case à cocher ou bien un bouton permettant à l’utilisateur de refuser que ses données soient traitées à des fins de géolocalisation. Ce consentement n’était pas valablement collecté par les sociétés en cause, premier point sur lequel la Cnil a demandé à ces sociétés de se conformer, à l’occasion de ses mises en demeure. La Cnil a, dans sa décision du 29 novembre 2018, constaté que les modèles de bannières et de pop-ups mis en place par les sociétés FIDZUP (1) et SINGLESPOT (2) sont désormais conformes aux dispositions de l’article 7 du Règlement Général sur la Protection des données (RGPD) (3).
Cette clôture des mises en demeure permet à la Cnil de rappeler à nouveau les critères de validité du consentement, à savoir qu’il soit exprimé de façon libre, spécifique, éclairé et univoque. Les contrôles de la Cnil ont révélé que les utilisateurs des applications mobiles sont peu informés quant aux finalités d’une telle collecte, de ses destinataires et encore moins de la présence d’un SDK (outil permettant de collecter les données de géolocalisation) dans l’application. En effet, l’esprit du RGPD vise à remettre l’utilisateur au cœur de la maîtrise de ses données. Ce dernier doit avoir le choix d’opter pour une ou plusieurs finalités de traitement. L’utilisateur doit également être informé des droits qu’il peut exercer concernant le traitement de ses données à caractère personnel par le responsable du traitement ou tout autre destinataire de ses données.
La mise en place de garanties pour la sécurité des données à caractère personnel collectées auprès des utilisateurs
Afin de minimiser les risques de pertes en cas de violation de données, il convient, notamment, d’établir une durée de conservation adéquate des données concernées et de mettre en place une purge des données pertinente. Cette politique de durée de conservation et de purge des données n’était pas valablement mise en place par la société SINGLESPOT, second point sur lequel la Cnil a demandé à cette société de se conformer lors de sa mise en demeure du 23 octobre 2018. La Cnil a ainsi, dans sa décision du 29 novembre 2018, relevé que la société SINGLESPOT a mis en place une politique de durée de conservation des données appropriée. Toutefois, la Cnil ne précise pas, à l’occasion de cette décision, les règles à respecter en matière de durée de conservation, en particulier des données de géolocalisation, et notamment lorsque les données sont traitées à des fins publicitaires. A titre d’exemple, la Cnil a indiqué, à l’occasion d’une recommandation du 25 juillet 2018, que les données de géolocalisation des véhicules de salariés ne doivent pas être conservées plus de deux mois par le responsable du traitement (4). Dans l’attente d’autres recommandations de la Cnil à ce sujet, il convient de mettre en place des durées de conservations adéquates et limitées au regard des finalités prévues pour le traitement concerné.
En outre, la société SINGLESPOT a pris des mesures de sécurité en interne. Elle a, notamment, mis en place un système d’authentification par mots de passe, afin d’accéder aux bases de données contenant des données à caractère personnel. La société SINGLESPOT a également prévu l’anonymisation des données à caractère personnel conservées dans ses bases de développement.
La conformité du traitement de données de géolocalisation à des fins de ciblage publicitaire réside, ainsi, dans une plus grande transparence de la part des responsables du traitement à l’égard des personnes concernées et la possibilité de donner à l’utilisateur un rôle déterminant dans la gestion de ses données.
Virginie Bensoussan-Brulé
Debora Cohen
Lexing Contentieux numérique
(1) Décision n°2MED-2018-023 du 29 novembre 2018 clôturant la décision n°MED-2018-023 du 25 juin 2018 mettant en demeure la société FIDZUP
(2) Décision n°2MED-2018-043 du 29 novembre 2018 clôturant la décision n°MED-2018-043 du 8 octobre 2018 mettant en demeure la société SINGLESPOT
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
(4) Cnil, Post du 25 juillet 2018 sur la géolocalisation des véhicules des salariés