Acteur de la mesure d'audience mobile et de l'affichage de publicités ciblées couplé à de la géolocalisation d'utilisateurs via des applications tierces embarquant un cookie de tracking, la start-up française Vectaury est sous le coup d'une mise en demeure de la Cnil. La commission nationale de l'informatique et des libertés avait pourtant reçu de la jeune pousse un engagement de conformité concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects, sachant qu'un DPO avait par ailleurs été nommé. Dans le cadre de ses activités, Vectaury a développé un SDK qui est intégré par ses 5 partenaires dans 19 applications mobiles. Ce dernier permet la collecte en arrière plan et le transfert de données de fonctionnement d'app mobiles, le croisement des données de géolocalisation avec les POI déterminés par les partenaires de Vectaury pour établir le profil utilisateur, et réaliser des campagnes marketing au travers via l'achat d'espaces publicitaires sur les plateformes d'enchères publicitaires (bid requests).
« Lors du contrôle des 19 et 20 avril 2018, la société a indiqué à la délégation que les données collectées via le SDK et les bid request sont mutualisées au sein d’une même base de données », indique la Cnil dans une décision publiée au Journal Officiel. « La délégation a constaté que la société conserve 42 934 160 millions d'identifiants distincts récupérés à travers les bid requests auxquels la société n’a pas répondu. Ces identifiants sont conservés dans un champ intitulé VUID, sous forme d’un hash tronqué. En outre, la délégation a constaté qu’étaient présents en base 5 150 201 identifiants publicitaires récupérés via les SDK installés sur les applications mobiles de ses éditeurs partenaires ». Par ailleurs, la commission a également pu constater que lorsque les utilisateurs autorisent l'accès aux données de géolocalisation pour le fonctionnement de l'app, leurs données sont aussi transmises à Vectaury sans leur consentement.
Vectaury persuadé d'être en conformité avec RGPD
La société a par ailleurs dernièrement indiqué à la Cnil le 26 octobre 2018, que « dans des avenants aux contrats signés, il est stipulé que les SSP sont dans l’obligation d’une part, d’obtenir le consentement des utilisateurs pour les finalités des traitements réalisés par Vectaury et, d’autre part, de fournir la chaîne de consentement pour chaque utilisateur par finalité. Sur ce point, conformément aux dispositions de l’article 7 du RGPD, dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. Mais la Cnil juge que l’obligation imposée par l’article 7 précité ne saurait être remplie par la seule présence d’une clause contractuelle garantissant un consentement initial valablement collecté. La société Vectaury doit être en mesure de démontrer, pour la totalité des données qu’elle traite aujourd'hui, la validité du consentement exprimé. « Force est de constater que la société Vectaury n’est aujourd'hui pas en mesure de démontrer que les données collectées par le biais des offres d’enchères en temps réel font, actuellement, systématiquement l’objet d’un consentement informé, libre, spécifique et activement manifesté », indique la commission.
Suite aux différents manquements constatés, la Cnil a donc mis en demeure Vectaury de ne pas procéder sans base légale, au traitement des données de géolocalisation des personnes à des fins de ciblage publicitaire, en recueillant de manière effective le consentement préalable des utilisateurs des applications éditées par ses partenaires. Mais aussi de procéder à la purge des données obtenues sans consentement informé, spécifique et activement manifesté, et de justifier ces actions à la commission. Le cas échéant, la start-up s'expose à une sanction pouvant aller jusqu'à 4% de son chiffre d'affaires.