Géo-localisation mobile publicitaire : Fidzup et Teemo mis en demeure par la Cnil

Fidzup et Teemo doivent obtenir le consentement de l'usage de leur SDK par les particuliers

C’est tout un pan de la publicité mobile qui est dans le viseur de la Cnil. Fidzup et Teemo deux jeunes pousses technologiques françaises de la géo-localisation mobile à but publicitaire sont mises en demeure par la Cnil de corriger l’absence de consentement des particuliers au recueil de leurs données.

Fidzup a été créé en 2011 et Teemo a été créé en 2014. Cette startup a changé de nom en 2017, elle s’appelait jusqu’alors Databerries. Les deux sociétés ont 3 mois pour se mettre en conformité avec la Cnil. C’est un sérieux coup de frein mis à leur développement.

Technologie SDK installée dans les smartphones

Fidzup et Teemo doivent recueillir explicitement le consentement des personnes au traitement de leurs données à des fins de ciblage publicitaire lorsque ces données sont recueillies par le biais d’une technologie (SDK) installée dans des applications mobiles tierces.

La Cnil a contrôlé les traitements mis en œuvre par Fidzup et Teemo qui collectent des données personnelles via les smartphones, afin de réaliser des campagnes publicitaires sur les mobiles.

Ces sociétés ont recours à des outils techniques dénommés « SDK ». Ces outils sont  intégrés dans le code des applications mobiles de leurs partenaires, par exemple des éditeurs de contenu. Cela sert à collecter les données des utilisateurs des smartphones même lorsque ces applications ne sont pas en fonctionnement.

Collecte de la géo-localisation toutes les 5 minutes

Concernant Teemo, ce « SDK » collecte l’identifiant publicitaire des smartphones et les données de géo-localisation des personnes, environ toutes les cinq minutes. Ces données sont ensuite croisées avec des points d’intérêts déterminés par les clients de Teemo, qui sont les marques et les enseignes de magasins. Cela sert à afficher de la publicité ciblée sur les smartphones des personnes à partir des lieux qu’elles ont visités.

Collecte des identifiants publicitaires et de l’identifiant du téléphone

Fidzup, pour sa part, installe un « SDK » au sein d’applications mobiles partenaires qui collecte les identifiants publicitaires mobiles et l’adresse MAC (identifiant le matériel) du smartphone. En parallèle, la société installe dans les points de vente partenaires des dispositifs « Fidbox » permettant de collecter des données relatives à l’adresse MAC et à la puissance du signal wifi des smartphones. Les données ainsi collectées sont croisées et leur traitement permet à la société d’effectuer de la prospection publicitaire géo-localisée sur les smartphones des personnes lors de leur passage à proximité d’un point de vente client de la société Fidzup.

Teemo et Fidzup indiquent traiter ces données avec le consentement des personnes concernées. La Cnil affirme que ses vérifications montrent que le consentement n’est pas recueilli comme la loi l’exige.

Absence d’information de l’installation du SDK

En effet, avec Teemo, les personnes ne sont pas informées, lors du téléchargement des applications mobiles partenaires, telles que celles proposées par  Le FigaroL’Équipe, Météo FranceCloser, etc, qu’un « SDK » collectant leurs données, et notamment leurs données de localisation, y est intégré.

Absence d’information sur la finalité et le responsable du traitement

Avec Fidzup, il ressort des contrôles effectués sur plusieurs applications mobiles qu’au moment de l’installation de l’application, l’utilisateur n’est pas informé de la finalité de ciblage publicitaire du traitement mis en œuvre, ni de l’identité du responsable de ce traitement. En outre, l’information fournie aux personnes dans les conditions générales d’utilisation des applications ou sur des affiches en magasins intervient après la collecte et le traitement des données, alors que le consentement suppose une information préalable.

Pour ces deux sociétés, il n’est pas possible, pour l’utilisateur, de télécharger l’application mobile sans le « SDK ». Les deux sont indissociables. L’utilisation des applications a pour conséquence automatique la transmission de données aux sociétés.

Le rôle du SDK n’est pas connu

Enfin, la Cnil constate que s’il est effectivement demandé aux personnes de consentir au traitement de leurs données de géo-localisation lors de l’installation des applications mobiles, cette action ne concerne que l’utilisation des données par cette application. Elle ne saurait donc être considérée comme un consentement à la collecte des données à des fins publicitaires via les « SDK ».

Les données peuvent être regardées comme traitées à l’insu des utilisateurs, sans le consentement préalable requis par la loi du 6 janvier 1978 et, désormais, par le Règlement général sur la protection des données (RGPD), qui conforte les exigences applicables au consentement.

La Cnil a par ailleurs constaté que Teemo conserve les données de localisation des personnes pendant 13 mois, ce qui est contraire à l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement.

La géo-localisation est intrusive

La Cnil considère l’utilisation de dispositifs de géo-localisation comme étant particulièrement intrusive au regard des libertés individuelles, dans la mesure où ils permettent de suivre de manière permanente et en temps réel des personnes. Ainsi, la Cnil estime que les données de géo-localisation ne peuvent être conservées que pour une durée strictement proportionnée à la finalité du traitement qui a justifié cette géo-localisation, ce qui n’est pas le cas en l’espèce.

En conséquence, la Cnil met en demeure Fidzup et Teemo de se conformer à la loi « Informatique et Libertés » et au RGPD dans un délai de trois mois. La CNIL sera amenée dans les mois à venir à porter une attention particulière aux différents intervenants de la chaine d’acteurs dans laquelle intervient l’utilisation du SDK.

Il appartient aux sociétés concernées par la mise en demeure de recueillir le consentement des utilisateurs dans les conditions prévues par la loi, et de définir une durée de conservation adéquate, pour que leur activité soit pleinement conforme aux textes. Aucune suite ne sera donnée à ces procédures si les sociétés se mettent en conformité. La clôture des procédures fera alors l’objet d’une publicité. Si les sociétés ne se conforment pas à ces mises en demeure dans le délai imparti, la Cnil pourra prononcer une sanction.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *