La CNIL a mis en demeure plusieurs sociétés proposant des services de collecte de données de géolocalisation permettant de créer des profils publicitaires.
Ces sociétés ont développé des traceurs « SDK[1] » intégrés dans le code des applications mobiles de leurs partenaires annonceurs, permettant de collecter les données des utilisateurs des smartphones même lorsque les applications ne sont pas en fonctionnement.
Les sociétés collectent les identifiants publicitaires des smartphones[2] des personnes concernées grâce au SDK et les associent à des données de géolocalisation et des points d’intérêts (par exemple l’adresse d’une enseigne proche). Les profils et clusters sont ensuite mis à disposition de leurs clients (annonceurs, enseignes) leur permettant d’adresser des publicités spécifiquement choisies en fonction des habitudes de déplacement des personnes.
La CNIL revient sur de nombreux thèmes essentiels en matière de conformité : le responsable de traitement (I), les modalités de recueil du consentement des personnes concernées (II), l’obligation de définir une durée de conservation (III) et la sécurité des données en cas de sous-traitance (IV).
I. Le responsable de traitement
Le responsable de traitement est la personne (physique ou morale) qui détermine la finalité et les moyens d’un traitement.
Un traitement peut être une collecte, un enrichissement, ou la simple opération de conservation des données.
Dans les décisions commentées, la CNIL a considéré que les sociétés SINGLESPOT, TEEMO, FIDZUP étaient responsables de traitement et non sous-traitant.
Rappelons que ces sociétés proposent des services liés au traitement de données de géolocalisation afin de permettre à leurs clients (des enseignes) de proposer des publicités ciblées aux personnes ayant téléchargé au préalable leur application mobile.
Il pourrait être considéré que les sociétés citées ci-dessus agissent comme sous-traitant de données par rapport aux marques qui sont responsables de traitement pour avoir choisi un prestataire proposant de collecter les données des mobinautes avec qui ils sont déjà en lien commercial.
Les marques connaissent la valeur-ajoutée de ce type de sociétés spécialisées dans la data et choisissent celle qui leur paraît le mieux convenir à leurs besoins. En cela, les marques déterminent la finalité (le ciblage publicitaire de leur clientèle) et les moyens (la technologie SDK et le recoupement des données de géolocalisation avec les adresses choisies préalablement par les enseignes).
Néanmoins, la CNIL considère que les sociétés déterminent dans une large mesure les finalités et les moyens des traitements mises en œuvre dans le cadre de l’utilisation du SDK.
Le cas de VECTAURY est un peu différent puisque c’est également cette société qui achète de l’espace publicitaire pour ses clients, réalise les campagnes et mesure leur performance. Elle réutilise également les données pour vendre des services d’analyse ou de profilage.
II. Le manquement à l’obligation de recueil du consentement
Comme le rappelle la CNIL, tout traitement de données doit reposer sur une base légale. Ainsi, l’article 7 de la Loi informatique et libertés précise que :
« Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes :
1° Le respect d’une obligation légale incombant au responsable du traitement ;
2° La sauvegarde de la vie de la personne concernée ;
3° L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;
4° L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
5° La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée ».
Les sociétés SINGLESPOT, TEEMO, FIDZUP et VECTAURY ont toutes déclarées avoir fondé leur traitement sur le consentement, ce qui fut peut-être une erreur, tant la CNIL s’emploie toujours à analyser la légalité du recueil du consentement. En effet, le consentement doit remplir trois conditions :
- Le consentement doit être « informé », c’est-à-dire éclairé ;
- Le consentement doit être libre ;
- Le consentement doit être spécifique.
Enfin, ce consentement doit être exprimé par une action positive de l’utilisateur.
A. Un consentement informé
La CNIL rappelle que le consentement informé « implique que toutes les informations nécessaires doivent être données au moment de la demande du consentement et que ces informations doivent couvrir tous les aspects de fond du traitement que le consentement est censé légitimer ».
Cela suppose que les personnes doivent être informées de la collecte de leurs données de géolocalisation via le SDK à des fins de profilages des utilisateurs et de ciblage publicitaire, au moment du téléchargement de l’application et non pas une fois celle-ci installée.
Bien souvent, ces informations interviennent après la collecte et le traitement des données, alors que le consentement suppose une information préalable et transparente des personnes.
B. Un consentement libre
La CNIL a pu constater qu’il n’était pas possible pour l’utilisateur de télécharger l’application mobile sans le SDK. Ainsi, l’utilisation de l’application a pour conséquence automatique la transmission des données aux sociétés.
Pourtant, le G29 considère que « le consentement ne peut être valable que si la personne concernée est véritablement en mesure d’exercer un choix et s’il n’y a pas de risque de tromperie […] Si les conséquences du consentement sapent la liberté de choix des personnes, le consentement n’est pas libre ».
En rendant automatique la transmission des données dès lors que l’application est utilisée, ces sociétés n’offrent pas aux personnes concernées la possibilité de pouvoir librement consentir au traitement lié à la géolocalisation.
POUR ALLER PLUS LOIN : avis du G29 n°15/2011 du 13 juillet 2011
Décision CJUE, 24 novembre 2011, n° C-468/10 « Asnef ».
C. Un consentement spécifique
Pour que la collecte et le traitement soit légaux, il convient que la personne concernée puisse fournir un consentement spécifique à la collecte de ses données personnelles à des fins publicitaires et, le cas échéant, à des fins de ciblage réalisé à partir de leur localisation.
Dans un avis 15/2011 du 13 juillet 2011, le G29 a rappelé que « pour être valable, le consentement doit être spécifique. En d’autres termes, un consentement général, sans préciser la finalité exacte du traitement, n’est pas acceptable. Pour être spécifique, le consentement doit être intelligible. Il doit mentionner, de façon claire et précise, l’étendue et les conséquences du traitement des données […] Le consentement doit être donné sur les différents aspects, clairement définis, du traitement. […] En effet, il ne saurait être considéré comme couvrant toutes les finalités légitimes poursuivies par le responsable du traitement ».
En d’autres termes, il ne suffira pas de recueillir le consentement de manière générale mais plutôt de bien distinguer chaque finalité :
- Utilisation des données, y compris de localisation, pour l’utilisation de l’application mobile téléchargée ;
- Utilisation des données, y compris de localisation, à des fins de ciblages publicitaires.
Par ailleurs, la géolocalisation ne saurait être activée par défaut, il convient que la personne concernée matérialise son consentement par un acte positif.
D. Un acte positif
Le G29, dans son avis 15/2011 du 13 juillet 2011 précité, a indiqué « qu’un consentement fondé sur l’inaction ou le silence de la personne concernée, en particulier dans l’environnement en ligne, ne constitue pas un consentement valable. Cette question se pose, notamment, dans le cas de l’utilisation de paramètres par défaut que la personne concernée est tenue de modifier pour refuser le traitement ».
L’une des sociétés mise en demeure, la société VECTAURY, avait configuré son application de telle sorte que les finalités de la collecte étaient toutes pré-acceptées par défaut. Néanmoins, ce genre de pratique ne permet pas d’obtenir un consentement volontaire de la part de la personne concernée.
L’action en cause ici ne matérialise, selon la CNIL, qu’une opposition au traitement dans la mesure où la personne décoche les traitements dont elle ne veut pas faire l’objet.
Cette pratique de la case pré-cochée est strictement interdite et sanctionnée par la CNIL.
E. La nécessité de prouver le consentement
La société VECTAURY avançait qu’elle imposait contractuellement à ses clients d’obtenir le consentement des utilisateurs et de fournir « la chaîne de consentement à VECTAURY pour chaque utilisateur et chaque finalité ».
Dans sa mise en demeure rédigée à l’encontre de la société VECTAURY, la CNIL précise que « conformément aux dispositions de l’article 7 du RGPD, dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.
L’obligation imposée par l’article 7 précité ne saurait être remplie par la seule présence d’une clause contractuelle garantissant un consentement initial valablement collecté. La société VECTAURY doit être en mesure de démontrer, pour la totalité des données qu’elle traite aujourd’hui, la validité du consentement exprimé ».
CE QU’IL FAUT RETENIR : la CNIL impose aux prestataires de service (en l’occurrence ici le responsable de traitement pour la CNIL) de vérifier, matériellement, auprès de leurs clients, la régularité des consentements obtenus. Il conviendra donc qu’ils adoptent une démarche active dans cette vérification en procédant à des tests techniques par exemple, afin de vérifier la légalité de la mise en œuvre des traitements de leurs partenaires.
III. Les durées de conservation doivent être proportionnées et justifiées par le but poursuivi par le traitement
Dans les affaires dont la CNIL a eu à connaitre, les durées de conservation étaient soit non définies, soit disproportionnées.
Rappelons tout d’abord que, quelque soit le traitement de données, les durées de conservation doivent systématiquement être définies (il est interdit de conserver des données indéfiniment).
Rappelons également que la durée de conservation doit être adéquate, proportionnée et justifiée.
Les sociétés TEEMO et SINGLESPOT conservaient les données pendant une durée de 13 mois (certainement par analogie avec les cookies).
Or, la conservation des données de géolocalisation constitue un risque d’atteinte à la vie privée des personnes concernées. La CNIL considère en effet que les dispositifs de géolocalisation étant particulièrement intrusifs au regard des libertés individuelles, dans la mesure où ils permettent de suivre de manière permanente et en temps réel des personnes, dans l’espace public, comme dans l’espace privé, il convient de définir une durée de conservation strictement proportionnée à la finalité du traitement justifiant cette géolocalisation.
En général, la CNIL demande à ce que les données de géolocalisation soient effacées immédiatement ou soient anonymisées. Pour conserver les données plus longtemps, un consentement spécifique est nécessaire.
CE QU’IL FAUT RETENIR : la CNIL considère que les données de géolocalisation ne doivent pas être conservées au-delà du temps nécessaire à la réalisation de l’opération de correspondance entre les données collectées et les points d’intérêts géographiques.
IV. L’obligation d’assurer la sécurité et la confidentialité des données
La société SINGLE SPOT réalisait des tests de développement en utilisant les données de la base de données de production. Or, il est évident que l’utilisation de données réelles pour des tests présentent un risque pour celles-ci, d’autant que les personnes réalisant des tests n’ont pas à avoir connaissance des parcours des personnes.
Un autre point très intéressant a été relevé par la CNIL concernant la mise en demeure TEEMO. Elle s’est aperçue que les données collectées par TEEMO étaient intégrées dans une base de données hébergée via les services de GOOGLE CLOUD.
Néanmoins, le contrat liant la société TEEMO et la société GOOGLE ne prévoyait pas de clause relative aux obligations du sous-traitant ni en matière de sécurité, ni en matière de confidentialité des données. Par ailleurs aucune clause ne prévoyait que GOOGLE, alors sous-traitant de TEEMO, ne devait traiter les données que sur instruction du responsable de traitement (pourtant rendu obligatoire par l’article 28 du RGPD).
Cela induit que les documents contractuels cadres de GOOGLE, notamment ses conditions générales d’utilisation et sa politique de protection des données, ne sont pas conformes au RGPD !
Attention donc à bien examiner les documents contractuels, même les contrats cadre, auxquels vous adhérez lorsque des données personnelles sont en jeu.
La clôture par la CNIL des mises en demeure FIDZUP et SINGLESPOT
Suite à ces mises en demeure, la CNIL a reçu des réponses des sociétés FIDZUP et SINGLESPOT qui lui ont permis de considérer que les manquements avaient cessés.
Les sociétés ont en effet développé des bannières s’affichant lors de l’installation des applications mobiles avant la collecte des données.
Ces bannières permettent désormais de recueillir un consentement libre, spécifique, éclairé et résultant d’une action positive des personnes, conformément au RGPD.
Les utilisateurs reçoivent dorénavant toutes les informations sur le traitement de leurs données avant leur collecte.
Les personnes sont également informées de la possibilité de retirer leur consentement à tout moment. Elles peuvent, grâce à un lien cliquable, avoir accès à une information plus complète notamment sur leurs droits.
Concernant la durée de conservation et la sécurité des données, la société SINGLESPOT a informé la Présidente de la CNIL qu’un système de purge automatique des données et une politique de mots de passe contraignants avaient été mis en place.
La mise en demeure de la CNIL est toujours d’actualité concernant les sociétés TEEMO et VECTAURY.
Charlotte GALICHET
[1] Kit de développement logiciel
[2] Un identifiant publicitaire est un identifiant unique généré par le système d’exploitation d’un smartphone permettant d’identifier le terminal de l’utilisateur de manière stable dans le temps. Cet identifiant est stocké de manière pérenne dans le smartphone de l’utilisateur et permet donc de l’identifier indirectement. Il a vocation à identifier l’utilisateur afin de lui associer un profil publicitaire constitué à partir de ses données de géolocalisation.