La Cnil a mis en demeure jeudi 19 juillet deux startups de ciblage publicitaire, Fidzup et Teemo, pour avoir exploité les données de géolocalisation d’utilisateurs de smartphones sans leur consentement.
Ces deux startups ont recours à des outils SDK intégrés dans le code d’applications mobiles de leurs partenaires. Elles peuvent ainsi collecter les données des utilisateurs des smartphones même lorsque ces applications ne sont pas en fonctionnement. Grâce à ces données, les deux sociétés donnent aux enseignes la possibilité de cibler de potentiels clients à proximité de leurs magasins et de les attirer avec des offres ciblées.
Teemo comme Fidzup indiquent traiter ces données avec le consentement des personnes concernées. Mais au cours de contrôles sur les traitements de données par ces deux
sociétés, la Cnil a observé que le consentement des consommateurs n’était pas
recueilli correctement.
Concernant Teemo, « les personnes ne sont pas informées, lors du téléchargement des applications mobiles partenaires, qu’un SDK permettant de collecter leurs données, et notamment leurs données de localisation, y est intégré« , a observé la Cnil. Teemo conserve en outre les données de localisation des personnes pendant 13 mois, une durée qui n’est pas « proportionnée » à leur usage, pour la Cnil.
Et pour Fidzup, au moment de l’installation de l’application l’utilisateur « n’est informé ni de la finalité de ciblage publicitaire du traitement mis en œuvre, ni de l’identité du responsable de ce traitement« . Par ailleurs, l’utilisateur n’a pas la possibilité de télécharger l’application mobile sans le SDK, déplore la Cnil.
Depuis cette annonce, Fidzup a affirmé s’être déjà mise en règle conformément aux recommandations de la Cnil. Olivier Magnan-Saurin, CEO et co-fondateur de Fidzup, indique à Solutions Numériques dans un mail : » Nous travaillons sur l’évolution de notre méthode de récolte du consentement depuis le début de l’année 2017. La mise en demeure publiée ce jour date d’un contrôle effectué à l’été 2017, moment où ce travail n’était pas encore finalisé et où nous considérions intervenir en tant que sous-traitant de nos partenaires éditeurs. Nous proposions alors le pop-up en option et ne l’imposions pas à nos partenaires. »
Il est à remarquer que Teemo avait été certifié « RGPD compliant » sur tous les critères d’évaluation en février de cette année par la société indépendante ePricavy. A l’époque, l’éditeur écrivait dans un communiqué de presse : « Les bannières publicitaires intégrées à l’application de Teemo intègrent maintenant l’icône AppChoices permettant aux utilisateurs mobiles d’accéder aux informations sur la publicité comportementale et de définir leurs préférences.
Enfin, Teemo offre à ses partenaires éditeurs une bannière d’informations juridiques directement intégrées dans son SDK pour répondre à leurs obligations d’information auprès des utilisateurs. Cette bannière peut être affichée par les éditeurs qui souhaitent être accompagnés dans le processus. »
Un exemple à ne pas suivre
« Les données peuvent être regardées comme traitées à l’insu des utilisateurs, sans le consentement préalable requis par la loi du 6 janvier 1978 et, désormais, par le Règlement général sur la protection des données (RGPD), qui conforte d’ailleurs les exigences applicables au consentement », indique la Cnil.
« Au regard des manquements constatés, la présidente de la Cnil a décidé de mettre en demeure les sociétés Fidzup et Teemo de se conformer à la loi Informatique et Libertés dans un délai de trois mois« , indique le régulateur. Si les sociétés ne changent pas leurs pratiques, la présidente saisira alors la formation restreinte de la Cnil qui pourra prononcer une sanction.
L’autorité voit dans cette mise en demeure publique une manière de sensibiliser les professionnels du secteur. Plus généralement, elle sera « amenée dans les mois à venir à porter une attention particulière aux différents intervenants de la chaine d’acteurs dans laquelle intervient l’utilisation du SDK« , prévient-elle.
Auteur : La Rédaction avec AFP
