La conformité aux règles sur la protection des données personnelles n’est plus uniquement l’apanage des grandes entreprises. C’est du moins ce que l’on peut déduire des dernières mises en demeure de la CNIL à l’encontre des startups Teemo, Fidzup, Singlespot et Vectaury.
Toutes quatre installaient des SDK sur des applications partenaires afin de collecter des données de smartphones, notamment leur géolocalisation, à des fins de marketing ciblé.
Les motivations ayant conduit la CNIL à mettre en demeure ces quatre startups sont très similaires.
Parmi elles, l’épineuse question du consentement.
La CNIL a ainsi reproché aux quatre sociétés de ne pas permettre aux utilisateurs des applications partenaires un consentement conforme à la loi Informatique et Libertés ainsi qu’au RGPD.
Tout d’abord, selon la CNIL, les modalités d’information des utilisateurs ne satisfaisaient pas aux obligations d’information sur les traitements de données opérés, ce qui conduisait à une impossibilité de consentir à ces derniers – pas d’information, pas de consentement. Pour Fidzup, par exemple, les éditeurs des applications partenaires demandaient certes via un pop-up une autorisation au traitement de géolocalisation, mais manquait à celui-ci la finalité du traitement, à savoir le ciblage publicitaire, ainsi que l’identité du responsable du traitement, à savoir Fidzup. Dans tous les cas, il a été en outre estimé que l’information était tardive, puisqu’elle n’intervenait qu’après l’installation des applications et du SDK c’est-à-dire après que les données avaient été collectées.
La CNIL a également constaté que les applications partenaires de Teemo et Fidzup ne proposaient pas un consentement libre au sens de la règlementation sur la protection des données. En effet, le SDK était obligatoirement inclus dans les applications, sans possibilité de les utiliser sans que les données de géolocalisation à des fins de ciblage publicitaire ne soient collectées.
Enfin, il était reproché aux quatre sociétés de ne pas permettre aux utilisateurs des applications de consentir de façon spécifique. En effet, pour être valable, le consentement ne doit pas être général, sans préciser la finalité exacte du traitement. Or, le consentement tel que proposé par les protagonistes à la collecte de la géolocalisation concernait l’ensemble des finalités résultant de l’utilisation des applications et n’était donc pas dédié spécifiquement à la finalité de publicité ciblée.
A ce jour, seule la mise en demeure de la société Teemo a été clôturée, celle-ci s’étant mise en conformité dans les délais.
En bref : pour pouvoir valablement consentir à un traitement de géolocalisation à des fins de publicité ciblée sur une application mobile, la formule de consentement préalable à la collecte, qui peut prendre la forme d’un pop up, doit inclure la mention (i) que des données de géolocalisation seront traitées, (ii) que ce traitement aura pour finalité la publicité ciblée, (iii) de l’identité du responsable de traitement. Bien entendu, les données ne devront être collectées que s’il est répondu favorablement à la demande.
La politique de confidentialité comportant des détails complémentaires sur ce traitements de données ainsi que les autres traitements qui seront mis en œuvre via l’application complètera utilement ce dispositif. Cette politique de confidentialité devra être mise à disposition des utilisateurs préalablement à la collecte des données.
ADDENDUM: le 29 novembre 2018, la CNIL a annoncé la clôture des mises en demeure à l’encontre de Fidzup et Teemo, après avoir constaté leur mise en conformité.
N’hésitez pas à nous contacter pour toute question de conformité à la règlementation relative aux données personnelles.
