La CNIL a mis en demeure la société Singlespot de recueillir le consentement des personnes au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire par le biais des applications mobiles. Bien que cette start-up, spécialisée dans le ciblage publicitaire, indique traiter ces données avec le consentement des personnes concernées, la CNIL a constaté que le consentement n'est pas valablement recueilli.
D’après l’autorité administrative indépendante, le manquement vient des données provenant des SDK. Ces bouts de code sont intégrés dans le code d'applications mobiles de leurs partenaires. Ils permettent de collecter les données des utilisateurs des smartphones même lorsque ces applications ne sont pas en fonctionnement. « Ce « SDK » permet de collecter l'identifiant publicitaire des smartphones et les données de géolocalisation des personnes, soit à des périodes de temps fixe (toutes les cinq minutes), soit selon la distance parcourue (tous les deux cents mètres) » précise la Commission dans un communiqué. « Ces données sont ensuite croisées avec des points d'intérêts déterminés par les partenaires (enseignes de magasins) afin d'afficher de la publicité ciblée sur les smartphones des personnes à partir des lieux qu'elles ont visités. »
3 mois pour se régulariser
D’après les vérifications de la CNIL, les utilisateurs d’applications ne sont pas systématiquement informés, lors du téléchargement, qu'un SDK collecte leurs données de localisation, ni de la finalité de ciblage publicitaire du traitement mis en œuvre, ni de l'identité du responsable de ce traitement. L'utilisateur ne peut pas télécharger l'application mobile sans activer le SDK non plus.
Enfin, la CNIL a constaté que, pour certaines applications, le consentement recueilli par le système d'exploitation du smartphone ne distingue pas l'utilisation des données de géolocalisation pour les fonctionnalités de l'application et pour l'affichage publicitaire. Au regard des manquements constatés, la présidente de la CNIL, Isabelle Falque-Pierrotin, a décidé de mettre en demeure la société Singlespot de se conformer à la loi « Informatique et Libertés » dans un délai de trois mois.
(Mise à jour du 25 octobre)
Dans un communiqué, Singlespot a indiqué prendre cette mise en demeure « très au sérieux ». « Notre équipe au complet, guidée par notre DPO et juriste, coopère avec la CNIL depuis plusieurs mois déjà, dans le cadre de la mise en oeuvre du RGPD. Nos experts techniques sont mobilisés depuis nos premiers échanges avec la CNIL pour mettre à jour notre logiciel et apporter les gages de notre conformité en matière de recueil du consentement explicite des mobinautes et de durée proportionnée de conservation des points de géolocalisation. »