La CNIL au service du RGPD
Le règlement général sur la protection des données adopté le 14 avril 2016 est un règlement très protecteur de la vie privée et des données à caractère personnel des utilisateurs.
Pour assurer une protection efficiente et efficace, les autorités de régulation dans chaque état se sont dotées de prérogatives plus importantes et veillent donc au respect de ce texte.
En France, c’est la CNIL qui est chargée de la régulation en matière de données personnelles.
Il faut ici préciser ce qu’englobe la notion de données personnelles qui peut être assez floue.
L’article 4 (1) et (2) du RGPD définit les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée personne concernée); est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. ».
Les données de géolocalisation font donc partie des informations protégées par le RGPD, ce qui donne lieu à une protection particulière, ayant motivé la décision de la CNIL en date du 8 octobre 2018.
Pour une protection efficace des données, le critère essentiel est la mise en œuvre du consentement de l’utilisateur.
Dans sa décision du 8 octobre 2018, la CNIL rappelle les trois attributs du consentement : ce dernier doit être informé, spécifique et univoque.
Consentement informé :
Les utilisateurs doivent comprendre qui est récolte et traite leurs données, dans quel but leurs données sont traitées et à quoi ils s’engagent et consentent.
Certaines informations sont essentielles et doivent être connues pour que le consentement soit réellement informé, comme par exemple l’identité du responsable du traitement, le type de données concernées, la possibilité de retirer son consentement…
Consentement spécifique :
Le consentement doit être demandé spécialement en matière de données à caractère personnel, les demandes de consentement doivent être détaillées et explicites. Le consentement doit être donné par un acte positif clair, soit une déclaration, soit un geste actif.
Consentement univoque :
Il faut que l’utilisateur ait véritable choix sur l’assentiment ou le refus.
C’est après la vérification de ces critères que la CNIL a finalement décidé d’intervenir et de mettre en demeure SINGLESPOT qui dispose à présent de trois mois pour régulariser ses demandes de consentement.
L’affaire Singlespot
Singlespot est une entreprise spécialisée dans le marketing mobile. Cette start-up collecte les données de nombreux utilisateurs de smartphone afin de déterminer quelles publicités correspondraient le plus aux attentes et besoins de ces derniers. Il s’agit de ciblage publicitaire, rendu possible par la collecte notamment de données de géolocalisation, permettant de savoir quelles enseignes ont été visitées par les utilisateurs.
SINGLESPOT utilise un outil nommé « SDK », il s’agit d’un outil de développement de programmes, souvent utilisés dans les applications mobiles. C’est grâce à cet outil que la start-up collecte les données de géolocalisation par le biais des diverses applications mobiles avec lesquelles elle travaille.
Le 8 octobre 2018, la CNIL a mis en demeure la société de recueillir valablement le consentement des utilisateurs pour la collecte de ces données.
En effet, la commission a relevé que les utilisateurs ne sont pas invariablement prévenus de l’utilisation et la collecte de leurs données de géolocalisation. En effet, selon la CNIL, pour qu’un utilisateur bénéficie d’une réelle information, il faut qu’il soit averti de l’utilisation qui est faite de ses données, de leur destination ainsi que de la personne ou l’organisme qui effectue le traitement de ces données. En l’espèce, les utilisateurs ne sont éclairés sur toutes ces informations.
Par ailleurs, lorsque le consentement était demandé, il était biaisé puisqu’il était impossible pour les utilisateurs de refuser l’installation du « SDK » qui est automatiquement implanté au moment de la mise en place de l’application dans le téléphone.
Cette affaire n’est pas sans rappeler les affaires FIDZUP et TEEMO de juillet 2018. En effet, dans ces deux affaires, les deux sociétés ont également été mises en demeure de recueillir le consentement des utilisateurs.
À la suite de leur mise en demeure par la CNIL, les deux sociétés ont finalement régularisé leur situation dans le délai qui leur était imparti et il est fort à parier que la start-up SINGLEPOT en fera de même dans le même délai.
En effet, il est dans leur intérêt de respecter cette mise en demeure sous peine de se voir condamner plus gravement par la suite. L’article 226-16 du Code Pénal prévoit que les personnes responsables du traitement de données à caractère personnel qui ne respectent pas les formalités préalables à ce traitement encourent une peine de 5 ans d’emprisonnement et de 300’000€ d’amende.
La mise en demeure de la CNIL est donc un moindre mal pour ces entreprises et elles vont vraisemblablement s’empresser de régulariser leur situation vis-à-vis du recueil des consentements des utilisateurs.
Ces affaires sont à rapprocher de la problématique des dispositifs de mesure d’audience et de fréquentation dans les espaces ouverts au public. Ces dispositifs consistent à recueillir des données personnelles de consommateurs potentiels à des fins de ciblage commercial par zone (occupation d’espaces publicitaires par zone géographique donnée), sans se contenter d’un simple décompte des entrées et sorties des clients d’un magasin par exemple.
La CNIL a rappelé, dans une recommandation en date du 17 octobre 2018, que si les données recueillies (habitudes d’achat, géolocalisation, données d’identification…) ne font pas l’objet d’une anonymisation dans les plus brefs délais, il faut alors respecter les conditions préalables inhérentes au traitement des données, et dont l’élément central est le recueil des consentements. C’est ici que ce trouve le centre du problème de ces dispositifs, de même que pour la question du traitement de données de géolocalisation à des fins de ciblage publicitaire opéré par les entreprises comme SINGLESPOT.
SOURCES :
– Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), entré en vigueur le 24 mai 2016 et applicable le 25 mai 2018.
– Commission Nationale de l’Informatique et des Libertés : Décision n° MED 2018-043 du 8 octobre 2018 mettant en demeure la société SINGLESPOT
– CNIL : Applications mobiles : mises en demeure pour absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire en date du 23 octobre 2018, consulté le 28 octobre 2018.
– CNIL : Applications mobiles : clôture de la mise en demeure à l’encontre de la société TEEMO, en date du 4 octobre 2018, consulté le 28 octobre 2018.
– CNIL : Applications mobiles : mises en demeure pour absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire, en date du 19 juillet 2018, consulté le 28 octobre 2018.
– Site internet de la start-up SINGLESPOT.
– Article de Nicolas CERTES, La CNIL met en demeure la start-up de ciblage publicitaire Singlespot, publié le 23/10/2018 et mis à jour le 25 octobre 2018 et consulté le 28 octobre 2018.
– CNIL : Dispositifs de mesure d’audience et de fréquentation dans des espaces accessibles au public : la CNIL rappelle les règles, en date du 17 octobre 2018 et consulté le 30 octobre 2018.