Les sociétés Fidzup et Singlespot se sont vues signifier la clôture de leur mise en demeure par la Cnil. Les deux sociétés avaient été placées sous contrôle rapproché les 19 juillet et 23 octobre 2018 pour absence de consentement des personnes au traitement de leurs données de géo-localisation à des fins de ciblage publicitaire. Les sociétés se sont depuis mises en conformité, estime la Cnil et les procédures de mise en demeure ont été clôturées.
Arrêt de mort commercial
Il faut voir qu’une mise en demeure de la Cnil signe un véritable arrêt commercial pour l’entreprise qui en est l’objet. Une autre société spécialisée dans le mobile telle que Vectaury en subit les effets actuellement par exemple. Ses clients potentiels tels que le groupe Carrefour préférant patienter pour le moment dans leur choix de cette solution.
Les accusations portaient d’une part, sur un défaut de recueil de consentement des personnes au traitement de leurs données de géo-localisation à des fins publicitaires, d’autre part, concernant la société Singlespot, sur une durée de conservation excessive des données de localisation et une sécurisation insuffisante des données. Les réponses de ces sociétés ont amené la Cnil à considérer que les manquements avaient cessé.
Les sociétés ont développé des bannières s’affichant lors de l’installation des applications mobiles avant la collecte des données. « Ces bannières permettent de recueillir un consentement libre, spécifique, éclairé et résultant d’une action positive des personnes, conformément au RGPD » considère la Cnil.
Collecte de l’adresse Mac et de l’identifiant publicitaire
Les utilisateurs sont informés, avant toute collecte de leurs données de la finalité du traitement, c’est à dire la publicité ciblée géo-localisée et les études marketing ; de l’identité des responsables de traitement (les partenaires géomarketing) accessible grâce à un lien cliquable ; des données collectées c’est-à-dire l’adresse MAC de la puce wifi, l’identifiant publicitaire du téléphone et les données de géo-localisation.
Les personnes sont également informées de la possibilité de retirer leur consentement à tout moment. Elles peuvent via un lien cliquable, avoir accès à une information plus complète notamment sur leurs droits. La Cnil déclare que les personnes sont en mesure d’« accepter » ou de « refuser » que leurs données de géo-localisation soient traitées à des fins de publicité ciblée. En cas de refus, les données ne sont pas collectées et les personnes peuvent continuer à utiliser l’application sans que la qualité du service ne soit altérée.
Concernant la durée de conservation et la sécurité des données, la société Singlespot a informé la Cnil qu’un système de purge automatique des données et une politique de mots de passe contraignants ont été mis en place.
