La CNIL ouvre une nouvelle procédure de mise en demeure, pour collecte de données de géolocalisation.
Singlespot, épinglé pour manquement de consentement des personnes, au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire.
3 mois lui sont laissés pour modifier ses méthodes de recueil du consentement des utilisateurs.
La CNIL avait déjà invoqué ce motif pour ouvrir, fin juin, une procédure de mise en demeure à l’encontre de Teemo (ex-Databerries),
Le dossier est clos depuis le 3 octobre, l’entreprise s’étant conformée à la loi.
Ce consentement porte sur la collecte de données de géolocalisation par l’intermédiaire d’un SDK intégré dans les applications mobiles d’une quinzaine de partenaires (essentiellement des éditeurs de presse). L’opération s’effectue soit à périodes fixe (toutes les 5 minutes sur Android), soit selon la distance parcourue (tous les 200 mètres sur iOS).
Leur croisement avec des « points d’intérêt » (typiquement, les coordonnées géographiques de commerces) alimentent des campagnes marketing pour le compte d’annonceurs.
Consentement pas toujours demandé
Le 29 mai 2018, lors d’une enquête, la CNIL avait constaté dans la base de données de l’entreprise, la présence de 14 344 760 identifiants publicitaires.
5 millions étaient associés à des données de géolocalisation.
Singlespot a affirmé disposer du consentement des personnes concernées pour traiter ces informations.
La CNIL a estimé que ce n’était pas le cas. En premier lieu parce que les utilisateurs ne sont pas spécifiquement informés du fait qu’autoriser le système à accéder aux données de géolocalisation entraîne leur transmission à Singlespot.
Un avenant a été apporté aux contrats avec les partenaires. Ces derniers doivent en informer les utilisateurs « selon une formulation et un format à convenir avec Singlespot ».
Une initiative que la CNIL a jugé insuffisante : “elle ne fixe pas les exigences concrètes et précises de la forme dans laquelle le consentement de l’utilisateur devra être recueilli”.
La politique de confidentialité des applications ne suffit pas, car Singlespot n’impose qu’une seule référence à sa société. De plus, l’information n’est disponible que trop tardivement : “elle n’est accessible qu’après collecte des données. On ne peut par ailleurs consentir spécifiquement à la collecte et à l’utilisation à des fins publicitaires : le tout ne peut être accepté ou refusé qu’en bloc”.
