La présidente de la CNIL a mis en demeure la société VECTAURY de recueillir le consentement des personnes au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire par le biais des applications mobiles.
L’activité de la société VECTAURY est d’établir le profil des mobinautes à partir de leurs habitudes de déplacements afin d’afficher de la publicité ciblée pour le compte de ses clients annonceurs sur les smartphones.
Elle utilise la technologie SDK permettant notamment de collecter des données de géolocalisation et l’identifiant publicitaire mobile qu’elle croise avec des « points d’intérêts » (correspondant au point de vente physique des enseignes des partenaires) pour afficher de la publicité en fonction des lieux visités.
La société VECTAURY réalise également des campagnes marketing à travers l’achat d’espaces publicitaires sur les plateformes de ventes aux enchères de publicités en temps réel. Pour ce faire, elle reçoit des données de géolocalisation et identifiants publicitaires mobile de smartphones sur lesquels la publicité ciblée doit être affichée.
Sur la qualité de responsable du traitement
La CNIL considère cette société comme responsable de traitement dès lors qu’elle détermine dans une large mesure les finalités et les moyens des traitements mis en œuvre dans le cadre de l’utilisation du SDK et des dispositifs d’enchères de publicités en temps réel.
La CNIL relève, en effet, que la société VECTAURY traite pour son propre compte les données à caractère personnel collectées via le SDK pour vendre des services d’analyse ou de profilage à ses clients.
Un manquement à l’obligation de recueil du consentement sur les données provenant des SDK
La société VECTAURY indique traiter ces données avec le consentement des personnes concernées. Toutefois, les vérifications de la CNIL ont permis de constater que le consentement n’est pas valablement recueilli.
En effet :
- Les personnes ne sont pas correctement informées de la nature des données collectées, des finalités du traitement ou encore de l’identité du responsable de traitement.
- La société a récemment proposé la mise en place d’un système de recueil du consentement (Consent Management Provider – CMP) pour renforcer l’information. Néanmoins, la CNIL observe que ce CMP n’est pas systématiquement implanté dans les applications et qu’il n’est, en outre, pas satisfaisant notamment car :
– L’information donnée à l’utilisateur est insuffisante et manque de clarté (or, le consentement doit être éclairé) ;
– que le consentement recueilli est global à plusieurs traitements (or, le consentement doit être spécifique) ;
– Enfin, la collecte des données de géolocalisation est activée par défaut (or, le consentement doit résulter d’un acte positif).
Un manquement à l’obligation de recueil du consentement sur les données provenant des offres d’enchère en temps réel d’espace publicitaire
La société VECTAURY est destinataire de données à caractère personnel par le biais d’enchères en temps réel auxquelles elle décide, ou non, de donner suite.
Ces données sont collectées, à l’origine, dans des applications sans lien contractuel avec VECTAURY, et sont transmises, pendant la procédure d’enchère, à plusieurs séries d’intermédiaires avant d’être prises en charge et traitées par la société VECTAURY.
Les deux finalités pour lesquelles les données sont transmises à VECTAURY sont la passation d’une enchère d’une part, et la définition d’un profil commercial des individus d’autre part.
La société VECTAURY met en avant :
- d’une part, le consentement donné par les utilisateurs pour mettre en œuvre le traitement des données à caractère personnel, notamment de géolocalisation, contenues dans les offres d’enchère en temps réel ; et
- d’autre part, la garantie contractuelle des émetteurs de données concernant le consentement de chaque utilisateur.
Par ailleurs, la CNIL a considéré que l’obligation de l’article 7 du RGPD concernant le recueil du consentement ne saurait être remplie « par la seule présence d’une clause contractuelle garantissant un consentement initial valablement collecté ». Ainsi, selon la CNIL, il appartient à la société VECTAURY de démontrer, « pour la totalité des données qu’elle traite », la « validité » du consentement exprimé.
N’étant pas en mesure de le démontrer, la société VECTAURY est en manquement aux dispositions de l’article 7 susvisé.