La CNIL a récemment adressé des mises en demeure, à quatre sociétés, pour mettre un terme au plus vite, à des pratiques de profilage et ciblage publicitaire par géolocalisation, qu’elle estime contraire :

aux dispositions de la loi du 6 janvier 1978 (LIL – loi informatique et libertés),

et au règlement européen dit RGPD (règlement général de la protection des données) du 27 avril 2016, entré en vigueur le 25 mai 2018 :

⬥ Mise en demeure n° 2018-022 du 25 juin 2018 prise à l’encontre de la société TEEMO et délibération n° 2018-287 du 5 juillet 2018 décidant de la rendre publique ;

⬥ Mise en demeure n° 2018-023 du 25 juin 2018 prise à l’encontre de la société FIDZUP et délibération n° 2018-288 du 5 juillet 2018 décidant de la rendre publique ;

⬥ Mise en demeure n° 2018-043 du 8 octobre 2018 prise à l’encontre de la société SINGLESPOT et délibération n° 2018-344 du 18 octobre 2018 décidant de la rendre publique ;

⬥ Mise en demeure n° 2018-042 du 30 octobre 2018 prise à l’encontre de la société VECTAURY et délibération n° 2018-343 du 8 novembre 2018 décidant de la rendre publique.

Dans ces quatre dossiers, la société s’appuie sur une technologie dénommée SDK, afin de collecter des données à caractère personnel via les smartphones et d’effectuer des campagnes publicitaires mobiles auprès des personnes. Elle reçoit également des offres d’enchères en temps réel pour de l’espace publicitaire provenant d’applications tierces, avec lesquelles elle n’a aucun lien commercial.

À l’occasion de ses investigations, la CNIL a notamment constaté que la société collecte des données de géolocalisation à travers son SDK. La société conserve également, en vue de traitements ultérieurs, des données de géolocalisation contenues dans les enchères publicitaires, qu’elle reçoit d’applications ayant ou non installé son SDK. Dans ces deux cas, la CNIL estime que le consentement des personnes n’est pas valablement recueilli, et que de tels traitements constituent un risque particulier au regard de la vie privée en ce qu’ils sont révélateurs des déplacements des personnes et de leurs habitudes de vie.

La CNIL estime que la publicité de ces mises en demeure se justifie également par le nombre massif de personnes susceptibles d’être impactées par le traitement mis en œuvre par ces quatre sociétés, compte tenu du fait qu’une partie importante de la population est en possession d’un smartphone.

En effet, le SDK est intégré à une vingtaine d’applications mobiles et permet la collecte des données de géolocalisation des personnes environ toutes les cinq minutes.

La CNIL estime par ailleurs que la publicité des mises en demeure se fonde sur la nécessité de mettre les personnes concernées en mesure de garder le contrôle de leurs données. Cet objectif ne saurait être atteint qu’en assurant le plus haut niveau de transparence sur la collecte des données, notamment de géolocalisation, et la finalité du traitement mis en œuvre par ces quatre sociétés. La technicité de ces systèmes, et notamment les enchères publicitaires, rend ces traitements largement inconnus du grand public.

Enfin, la CNIL souhaite sensibiliser les professionnels du secteur sur cette difficulté, alors que la collecte de données à caractère personnel à des fins de profilage et de ciblage publicitaire, notamment à partir des lieux fréquentés par les personnes, connaît une forte croissance. La CNIL note, en effet, que l’utilisation du SDK s’inscrit dans un écosystème faisant intervenir plusieurs acteurs, à savoir les éditeurs d’applications mobiles et les clients annonceurs, qu’il est essentiel d’alerter sur les enjeux de la protection des données.

Pour mémoire, il est rappelé que la mise en demeure ne revêt pas le caractère d’une sanction. À ce titre, aucune suite ne sera donnée à la procédure, si l’organisme concerné se conforme en tous points, aux exigences de la mise en demeure, dans le délai imparti. Si tel est le cas, celle-ci fera l’objet d’une clôture qui sera également rendue publique.

Mots Clé : CNIL – Mise en demeure – Technologie SDK – Géolocalisation des utilisateurs sans leur consentement – Utilisation des données de géolocalisation sans le consentement des utilisateurs – Risques importants d’atteintes à la vie privée des personnes – Applications mobiles – Smartphones – Technique de géolocalisation largement inconnue du grand public – Sensibilisation des professionnels du secteur : éditeurs d’applications mobiles et clients annonceurs – Sensibilisation du public