Smartphone : la CNIL veut mettre de l’ordre dans la publicité géolocalisée

Publié le par - 913 vues

La CNIL met en demeure deux sociétés spécialisées dans le ciblage publicitaire sur téléphone mobile. Au regard de la nature des manquements, du nombre de personnes concernées et de la nécessité de sensibiliser les professionnels du secteur sur ces enjeux, la CNIL a décidé de rendre publique ces mises en demeure.

Les société concernées

Fidzup a développé plusieurs technologies fonctionnant par le son ou le WiFi qui permettent de détecter des visiteurs grâce à leur mobile. Les données permettent de définir un profil consommateur. Fidzup permet ensuite à des annonceurs de communiquer avec ces profils par l’affichage de bannières publicitaires dans les applications faisant partie du réseau de diffusion de la société (plus de 1.000 applications à ce jour). Le système crée un lien entre un espace physique et le smartphone, permettant à des magasins 100% physiques d’utiliser des technologies marketing propres à l’environnement numérique.

Teemo est une plateforme Drive-to-Store : au sens large du terme, une action drive to store vise à faire déplacer l’individu ciblé vers un point de vente, quelle que soit sa localisation initiale et son mode de transport. Dans le domaine du digital, le terme est le plus souvent utilisé pour distinguer des campagnes visant à obtenir la visite en point de vente de celles cherchant à obtenir un achat sur un site e-commerce. (plus d’infos)

Les deux sociétés utilisent des outils dits SDK. Il s’agit d’un bout de code informatique intégré dans le code des applications mobiles de leurs partenaires, qui permet de collecter les données des utilisateurs des smartphones même lorsque ces applications ne sont pas en fonctionnement :

  • S’agissant de la société TEEMO, ce « SDK » permet de collecter l’identifiant publicitaire des smartphones et les données de géolocalisation des personnes, environ toutes les cinq minutes. Ces données sont ensuite croisées avec des points d’intérêts déterminés par les partenaires (enseignes de magasins). Ils permettent d’afficher de la publicité ciblée sur les smartphones des personnes à partir des lieux qu’elles ont visités.
  • La société FIDZUP, quant à elle, installe un « SDK » au sein d’applications mobiles partenaires qui collecte les identifiants publicitaires mobiles et l’adresse MAC du smartphone. En parallèle, la société installe dans les points de vente partenaires des dispositifs « FIDBOX » permettant de collecter des données relatives à l’adresse MAC et à la puissance du signal WIFI des smartphones. Les données ainsi collectées sont croisées et leur traitement permet à la société d’effectuer de la prospection publicitaire géolocalisée sur les smartphones des personnes lors de leur passage à proximité d’un point de vente client de la société FIDZUP.

Le consentement est-il valable ?

Dans sa mise en demeure rendue publique, on peut lire que la CNIL estime que le consentement n’est pas recueilli comme la loi l’exige.

En effet, tout d’abord, concernant la société TEEMO, les personnes ne sont pas informées, lors du téléchargement des applications mobiles partenaires, qu’un « SDK » permettant de collecter leurs données, et notamment leurs données de localisation, y est intégré.

S’agissant de la société FIDZUP, il ressort des contrôles effectués sur plusieurs applications mobiles qu’au moment de l’installation de l’application, l’utilisateur n’est informé ni de la finalité de ciblage publicitaire du traitement mis en œuvre, ni de l’identité du responsable de ce traitement. En outre, l’information fournie aux personnes dans les conditions générales d’utilisation des applications ou sur des affiches en magasins intervient après la collecte et le traitement des données, alors que le consentement suppose une information préalable.

Par ailleurs, concernant ces deux sociétés, il n’est pas possible, pour l’utilisateur, de télécharger l’application mobile sans le « SDK ». Les deux sont indissociables : l’utilisation des applications a pour conséquence automatique la transmission de données aux sociétés.

Enfin, la CNIL a constaté que s’il est effectivement demandé aux personnes de consentir au traitement de leurs données de géolocalisation lors de l’installation des applications mobiles, cette action ne concerne que l’utilisation des données par cette application. Elle ne saurait donc valoir consentement à la collecte des données à des fins publicitaires via les « SDK ».

La durée de conservation

La CNIL a par ailleurs constaté que la société TEEMO conserve les données de localisation des personnes pendant 13 mois, ce qui est contraire à l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement.

La CNIL estimer que l’utilisation de dispositifs de géolocalisation est particulièrement intrusive au regard des libertés individuelles, dans la mesure où ils permettent de suivre de manière permanente et en temps réel des personnes. Ainsi, la CNIL estime que les données de géolocalisation ne peuvent être conservées que pour une durée strictement proportionnée à la finalité du traitement qui a justifié cette géolocalisation, ce qui n’est pas le cas en l’espèce.

Plus d’infos ?

En lisant l’infographie réalisée par la CNIL sur la géolocalisation.

(source : communiqué de la CNIL)

Droit de réponse

Suite à notre article, nous recevons le droit de réponse suivant de la société Fidzup : « Nous travaillons sur l’évolution de notre méthode de récolte du consentement depuis le début de l’année 2017. La mise en demeure publiée ce jour date d’un contrôle effectué à l’été 2017, moment où ce travail n’était pas encore finalisé et où nous considérions intervenir en tant que sous-traitant de nos partenaires éditeurs. Nous proposions alors le pop-up en option et ne l’imposions pas à nos partenaires. 

Depuis Fidzup a terminé le nouveau pop-up de récolte du consentement demandé par la CNIL et l’a prescrit à 100% de ses éditeurs partenaires. Nous allons donc notifier la CNIL en ce sens et sommes confiants sur une issue rapide et positive.

Par ailleurs cette mise en demeure fait suite à un contrôle plus global de nos activités, qui se trouvent donc validées dans leur ensemble sous réserve de cette demande de pop-up de la CNIL. Nous sommes ravis de cette clarification du régime juridique applicable, que nous sollicitions depuis longtemps. »

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK