Applications mobiles : mises en demeure pour absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire
La Présidente de la CNIL met en demeure la société VECTAURY de recueillir le consentement des personnes au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire par le biais des applications mobiles.
La CNIL a contrôlé les traitements de données mis en oeuvre par la société VECTAURY qui a recours à des technologies permettant de collecter des données personnelles via les mobiles multifonctions et de réaliser des campagnes publicitaires sur les mobiles.
Cette société a recours à des outils techniques dénommés « SDK » intégrés dans le code d'applications mobiles de ses partenaires. Ils lui permettent de collecter les données des utilisateurs des mobiles multifonctions même lorsque ces applications ne fonctionnent pas. Ce « SDK » permet de collecter l'identifiant publicitaire des mobiles multifonctions et les données de géolocalisation des personnes. Ces données sont ensuite croisées avec des points d'intérêts déterminés par les partenaires (enseignes de magasins) afin d'afficher de la publicité ciblée sur les terminaux des personnes à partir des lieux qu'elles ont visités.
La société VECTAURY traite également, à des fins de profilage et de ciblage publicitaire, des données de géolocalisation qu'elle reçoit via des offres d'enchères en temps réel initialement transmises dans le but de permettre à la société d'acheter un espace publicitaire.
Un manquement à l'obligation de recueil du consentement sur les données provenant des SDK
La société VECTAURY indique traiter ces données avec le consentement des personnes concernées. Toutefois, les vérifications de la CNIL ont permis de constater que le consentement n'est pas valablement recueilli.
Tout d'abord, les personnes ne sont pas systématiquement informées, lors du téléchargement des applications mobiles, qu'un « SDK » collecte leurs données de localisation. Au moment de l'installation, l'utilisateur n'est informé ni de la finalité de ciblage publicitaire, ni de l'identité du responsable de ce traitement. L'information fournie dans les conditions générales d'utilisation des applications intervient après le traitement des données, alors que le consentement suppose une information préalable.
Il n'est par ailleurs pas toujours possible, pour l'utilisateur, de télécharger l'application mobile sans activer le « SDK ». Lorsque les deux sont indissociables, l'utilisation des applications a pour conséquence automatique la transmission de données à la société VECTAURY.
La société a récemment proposé la mise en place d'un système de recueil du consentement (Consent Management Provider - CMP) pour renforcer l'information. Néanmoins, la CNIL observe que ce CMP n'est pas systématiquement implanté dans les applications. Il n'est en outre toujours pas satisfaisant notamment car l'information donnée à l'utilisateur est insuffisante. Enfin, la collecte des données de géolocalisation est activée par défaut.
Un manquement à l'obligation de recueil du consentement sur les données provenant des offres d'enchère en temps réel d'espace publicitaire
Les contrôles ont également permis de constater que le consentement des utilisateurs n'était pas recueilli avant que leurs données personnelles soient utilisées pour du profilage publicitaire. Les informations données à l'utilisateur n'expliquent pas que ses données seront utilisées pour ce système d'enchères en temps réel, ni qu'elles seront ensuite conservées en vue de la définition d'un profil commercial. Comme pour les SDK, la collecte des données est activée par défaut.
Le système d'enchère d'espace publicitaire a permis à la société de recueillir plus de 42 millions d'identifiants publicitaires et les données de géolocalisation à partir de plus de 32 000 applications.
Ces traitements résultant des SDK et des offres d'enchère en temps réel présentent un risque particulier au regard de la vie privée. Ils sont en effet révélateurs des déplacements des personnes et de leurs habitudes de vie. De plus, ces traitements sont opérés sans que les personnes concernées n'en soient conscientes, et sans qu'elles puissent exercer les droits prévus par le RGPD.
La société VECTAURY est donc mise en demeure de recueillir le consentement effectif de tous les utilisateurs concernés. Elle est également mise en demeure de supprimer les données qu'elle avait indûment collectées.
Au regard des manquements constatés, la Présidente de la CNIL a décidé de mettre en demeure la société VECTAURY de se conformer à la loi « Informatique et Libertés » dans un délai de trois mois. Aucune suite ne sera donnée à cette procédure si la société se met en conformité. La clôture de la procédure fera alors l'objet d'une publicité. Dans le cas contraire, la Présidente saisira la formation restreinte de la CNIL, qui pourra prononcer une sanction.
Au regard de la nature des manquements, du nombre de personnes concernées par ces traitements et de la nécessité de sensibiliser les professionnels du secteur sur les enjeux liés au recours à ce type de technologie, la CNIL a décidé de rendre publique cette mise en demeure. Comme elle l'avait précédemment annoncé, la CNIL porte une attention particulière aux différents intervenants de la chaine d'acteurs dans laquelle intervient l'utilisation du SDK.