Deux sociétés ont été mises en demeure par la CNIL (décisions du 25 juin 2018 n°MED-2018-022, et n°MED-2018-023) de recueillir le consentement des personnes au traitement de leurs données à des fins de ciblage publicitaire par le biais d’une technologie « SDK » installée dans des applications mobiles.
Deux sociétés (FIDZUP et TEEMO) ont recours à des outils techniques dénommés « SDK », intégrés dans le code d’applications mobiles de leurs partenaires, qui leur permettent de collecter, notamment, les données de géolocalisation des utilisateurs.
FIDZUP propose un service permettant d’opérer des campagnes publicitaires mobiles ciblées sur des critères géographiques, comportementaux ou sur des smartphones identifiés comme ayant été localisés à proximité des points de vente des clients annonceurs et équipés d’un dispositif de remontée d’informations WI-FI (nommé FIDBOX). Les données collectées via les SDK sont croisées avec les données provenant des FIDBOX situés dans les points de vente des clients.
TEEMO détermine avec ses partenaires des points d’intérêts qui correspondent à des coordonnées géographiques, tels que des points de vente physiques. La société TEEMO établit des profils des personnes afin de leur proposer de la publicité ciblée.
Ces décisions sont intéressantes sur différents points, dont notamment :
1/Sur la qualification de responsable de traitement :
Selon la CNIL, ces deux sociétés déterminent dans une large mesure les finalités et les moyens des traitements mis en œuvre dans le cadre de l’utilisation de cette technologie SDK (et FIDBOX pour FIDZUP) dès lors que :
- FIDZUP vend, grâce à ce dispositif, des services d’analyse ou de ciblage auprès des clients annonceurs.
- TEEMO se sert des données collectées pour en déduire des audiences qualifiées.
2/Sur la base juridique :
eux sociétés indiquent traiter ces données avec le consentement des personnes concernées.
Lorsqu’un responsable de traitement décide de fonder son traitement sur le consentement il doit s’assurer que les conditions suivantes sont remplies :
- Celui-ci doit se matérialiser par une « action positive claire » avant tout traitement ;
- Il doit être libre (ne conditionne pas l’accès au service), spécifique (donné pour une finalité précise) et informé (information explicite et avant tout traitement) ;
- Enfin, la personne concernée doit avoir à sa disposition un moyen de retrait aussi simple que celui utilisé pour demander son consentement.
La CNIL a donc vérifié si les conditions du consentement étaient remplies et relevé qu’en l’espèce, le consentement n’était ni informé, ni libre, ni spécifique.
La CNIL retient donc, entre autres, un manquement à l’obligation de disposer d’une base légale et met en demeure ces sociétés de recueillir de manière effective le consentement des utilisateurs des applications éditées par les partenaires au traitement de leurs données par cette dernière.
