Alors qu’en juillet dernier, la Cnil mettait pour la première fois en demeure deux startups de ciblage publicitaire pour avoir exploité les données de géolocalisation d’utilisateurs de smartphones sans leur consentement, l’autorité sanctionne de nouveau une jeune pousse pour des raisons similaires.
Après les sociétés Fidzup et Teemo en juillet, c’est l’entreprise Singlespot qui est cette fois dans le collimateur de la Cnil pour « un manquement à l’obligation de recueil du consentement sur les données« , en l’occurrence provenant des SDK de la société. Ces SDK permettent de collecter l’identifiant publicitaire des smartphones et les données de géolocalisation des personnes, soit à des périodes de temps fixe (toutes les cinq minutes), soit selon la distance parcourue (tous les deux cents mètres). Ces données sont ensuite croisées avec des points d’intérêts déterminés par les partenaires (enseignes de magasins) afin d’afficher de la publicité ciblée sur les smartphones des personnes à partir des lieux qu’elles ont visités.
Pas d’information systématique de la collecte des données
La Cnil reproche à la société que les personnes ne soient « pas systématiquement informées, lors du téléchargement des applications mobiles, qu’un « SDK » collecte leurs données de localisation. Il ressort des contrôles effectués qu’au moment de l’installation de l’application, l’utilisateur n’est informé ni de la finalité de ciblage publicitaire du traitement mis en œuvre, ni de l’identité du responsable de ce traitement. En outre, l’information fournie aux personnes dans les conditions générales d’utilisation des applications intervient après la collecte et le traitement des données, alors que le consentement suppose une information préalable « , explique-t-elle. Avant d’ajouter : « Il n’est par ailleurs pas toujours possible, pour l’utilisateur, de télécharger l’application mobile sans activer le « SDK ». » Lorsque les deux sont indissociables, l’utilisation des applications a pour conséquence automatique la transmission de données à la société Singlespot.
Par ailleurs, la Cnil a constaté que la société n’avait pas défini de durée de conservation et assuré la sécurité et la confidentialité des données.
