Depuis cet été, la CNIL s’est engagée dans une bataille contre la collecte et l’utilisation des données personnelles via les smartphones à des fins publicitaires. En effet, le 25 juin dernier la CNIL avait mis en demeure les sociétés FIDZUP et TEEMOO de se conformer au nouveau règlement européen sur les données personnelles et à la loi Informatique et Libertés. La CNIL avait constaté l’absence de consentement des personnes subissant le traitement de données, ainsi qu’un manquement quant à la durée de conservation de ces données. C’est ainsi que la CNIL s’est lancée dans un contrôle à l’encontre de tous les acteurs du secteur de la publicité mobile, dont récemment la société VECTAURY, le 9 novembre 2018.
L’affaire VECTAURY : un contrôle fastidieux débutant en mars 2018
La société VECTAURY est spécialisée dans la programmation informatique, et plus particulièrement dans la publicité mobile. En effet, grâce à la technologie « SDK » ou Software Development Kit, VECTAURY peut déterminer le profil de chaque utilisateur de smartphone utilisant ses applications. Cette technologie permet de collecter des données personnelles via les smartphones afin de réaliser des campagnes publicitaires ciblées sur les mobiles, grâce notamment à la géolocalisation. De plus, les données peuvent être collectées alors même que l’utilisateur n’a pas ouvert d’applications. Enfin, la société VECTAURAY traite également les données de géolocalisation collectées pour mettre aux enchères, en temps réel, des espaces publicitaires.
Le 30 mars 2018, la CNIL décide d’effectuer un contrôle sur place de la société VECTAURY pour vérifier sa mise en conformité à la Loi Informatique et Libertés et sur le traitement des données personnelles effectué par le SDK. Cette technologie présente un intérêt particulier pour la CNIL puisqu’elle permet à la société VECTAURY de faire des croisements entre les données collectées et les points d’intérêts déterminés par les annonceurs, clients de la société, grâce à l’utilisation des coordonnées géographique.
La CNIL a constaté lors de ses contrôles que VECTAURY avait couplé l’autorisation d’accès aux données de géolocalisation qu’avait donné l’utilisateur du smartphone pour l’application et la transmission des données à la société. Toutefois, l’utilisateur n’avait pas pour autant donné son consentement pour la transmission de ses données à la société. Enfin, il faut noter que les données transmises étaient conservées pendant douze mois à compter de la date de leur collecte.
La société VECTAURY : responsable en qualité de responsable du traitement au sens du RPGD
La CNIL considère que le responsable « d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal ». C’est pourquoi la CNIL va retenir la société VECTAURY comme responsable de traitement. En effet, elle estime que la société a déterminé dans une large mesure les finalités et les moyens des traitements mis en œuvre dans le cadre de l’utilisation du SDK et des dispositifs d’enchères de publicités en temps réel et que la société traite pour son propre compte les données à caractère personnel collectées pour vendre des services d’analyses ou de profilages auprès de ses clients. Dès lors, la société doit se conformer aux obligations exigées par le RGPD, notamment dans son Chapitre IV « Responsable du traitement et sous-traitant » et la loi Informatique et Libertés.
La CNIL va alors constater deux manquements par la société VECTAURY en tant que responsable du traitement.
1/Le manquement à l’obligation de recueil du consentement découlant de l’utilisation de la technologie SDK
Selon la CNIL, la société VECTAURY ne pouvait pas se prévaloir de recueillir le consentement des personnes faisant l’objet du traitement. En effet, la Commission de contrôle a estimé que le recueillement n’était pas valide pour plusieurs raisons. Dans un premier temps, elle a constaté que les personnes n’étaient pas informées de façon systématique lors du téléchargement des applications mobiles de l’utilisation de la technologie SDK qui permet de collecter des données de géolocalisation. De plus, l’identité du responsable de traitement n’était pas précisée. Or, un traitement n’est licite que si on a le consentement exprès et éclairé de la personne concernée selon l’article 6 du RGPD.
La société VECTAURY a fait valoir que ces informations étaient fournies dans les conditions générales d’utilisation des applications, or il faut noter que le consentement concernant le traitement de données doit se faire préalablement. Dès lors, le renvoi aux conditions générales ne permet pas de justifier qu’une information préalable a été fournie.
De plus, la CNIL a constaté que sur certaines applications l’utilisation de la technologie « SDK » et celle de l’application était indissociable. Là encore, on peut soulever que l’utilisateur est obligé de consentir à l’utilisation de ses données par le biais du SDK s’il souhaite utiliser son application. On pourrait donc considérer que la société VECTAURY abuse de sa position en forçant l’utilisateur de l’application a donné son consentement pour le traitement de ses données.
Toutefois, il faut noter que, pendant la période de contrôle de la CNIL, VECTAURY a mis en place un système permettant de combler son manquement face aux informations fournies. Cependant, la CNIL a considéré que ce système de consentement qui était implanté dans les applications n’était pas satisfaisant. En effet, l’information donnée reste toujours insuffisante et il faut noter que la collecte de données de géolocalisation est toujours activée par défaut. Ainsi, un utilisateur peu averti pourrait ne pas se rendre compte que ses données font l’objet d’un traitement.
2/Le manquement à l’obligation de recueil du consentement découlant des offres d’enchère en temps réel d’espace publicitaire
Comme il a été précisé, la société VECTAURY, en plus de traiter de données de géolocalisation, permet à ses clients annonceurs d’acheter de l’espace publicitaire. Or, il s’avère que l’utilisation des données personnelles des utilisateurs pour faire du profilage publicitaire n’a pas fait l’objet d’un consentement selon la CNIL. En effet, rien ne permet de savoir que les données vont par la suite être conservées et utilisées dans un but commercial alors même que la collecte des données est faite par défaut. C’est, ainsi, que la commission de contrôle a pu constater que la société VECTAURY avait recueilli 42 millions d’identifiants publicitaires et des données de géolocalisation à partir de plus de 32 000 applications. La CNIL a estimé que ce traitement était une atteinte à la vie privée. Cette atteinte est dès lors plus grave lorsque l’on constate que les personnes concernées ne pouvaient pas avoir conscience de ce traitement et ne pouvaient donc pas exercer leurs droits conférés par le RGPD et la Loi Informatiques et libertés. Ces droits étant notamment le refus de voir ses données collectées et traitées.
La mise en demeure par la CNIL de la société VECTAURY
La CNIL a donc mis en demeure la société VECTAURY sous un délai de trois mois à compter de la notification de sa décision en date du 30 octobre 2018. Ainsi, la société VECTAURY va devoir, sous réserve des mesures qu’elle aurait déjà pu adopter :
- Ne pas procéder sans base légale au traitement des données de géolocalisation des personnes à des fins de ciblage publicitaire, en particulier recueillir, de manière effective, le consentement préalable, dans des conditions conformes aux dispositions des articles 6 et 7 du RGPD, des utilisateurs des applications éditées par les partenaires de la société VECTAURY comme celles des utilisateurs des applications dont proviennent des offres d’enchère en temps réel, au traitement de leurs données par cette dernière ;
- Procéder à la purge des données obtenues sans consentement informé, spécifique et activement manifesté
- Justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.
La société VECTAURY a donc jusqu’au 30 janvier 2019 pour se mettre en conformité. Pendant, ce temps la CNIL ne relâche pas sa garde puisque selon Mathias Moulin, le directeur de la protection des droits et des sanctions de la CNIL, il n’est pas exclu de voir des sanctions pécuniaires tomber si les mauvaises pratiques venaient à perdurer à moyen terme.
Sources :
Auffray (C), « La Cnil rappelle à Vectaury que le consentement n’est pas une option », https://www.zdnet.fr/actualites/la-cnil-rappelle-a-vectaury-que-le-consentement-n-est-pas-une-option-39876235.htm, consulté le 30 décembre 2018
Commission Nationale de l’Informatique et des Libertés, Décision n° MED 2018-042 du 30 octobre 2018 mettant en demeure la société VECTAURY , https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037594451&fastReqId=974682228&fastPos=2, consulté le 30 décembre 2018
Jaimes (N) , «La Cnil n’a pas à être prescriptrice sur le sujet du RGPD mais à s’assurer du respect de la loi », https://www.journaldunet.com/ebusiness/crm-marketing/1419637-la-cnil-n-a-pas-a-etre-prescriptrice-sur-le-sujet-du-rgpd-mais-a-s-assurer-du-respect-de-la-loi/, consulté le 30 décembre 2018