Dans sa mise en demeure du 30 octobre 2018, la CNIL reprochait à la société Vectaury, l’absence de  recueil du consentement des utilisateurs au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire.  Dans sa décision du mardi 26 février 2019 la CNIL a annoncé la clôture de la mise en demeure de la société Vectaury

 

La société Vectaury, tout comme les sociétés Teemo, Fidzup, Singlespot, intègre des SDK (Software Development Kit) dans des applications pour mobiles à des fins de marketing ciblé selon la géolocalisation. Les SDK sont des technologies de traçage qui permettent de collecter les données de géolocalisation d’utilisateurs de smartphones et ce même lorsque l’application ne fonctionne pas. Ces données sont ensuite croisées avec des points d’intérêts (POI) déterminés par les partenaires et/ou annonceurs publicitaires, qui sont généralement des enseignes de magasins, afin d’afficher de la publicité ciblée sur le mobile de l’utilisateur à partir des lieux qu’il a visités.

Toujours à des fins de publicité ciblée et de profilage, la société Vectaury traite également des donnés de géolocalisation par les offres d’enchères en temps réel qu’elle transmet et qui permettent à une autre société d’acheter un espace publicitaire.

  1. Rappel des griefs relevés par la CNIL à l’encontre de la société Vectaury

Dans sa mise en demeure du 30 octobre 2018, après avoir qualifié la société Vectaury de responsable de traitement, la CNIL relève un manquement à l’obligation de recueil du consentement sur les données personnelles provenant des SDK d’une part, et un manquement à l’obligation de recueil du consentement sur les données provenant des offres d’enchère en temps réel d’espace publicitaire d’autre part.

Pour rappel le consentement correspond à une « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (article 4.11 du RGPD).

En l’espèce, la CNIL reprochait à la société Vectaury de ne pas avoir valablement recueilli le consentement car l’utilisateur

  • n’avait pas reçu, en amont du traitement, une information claire, transparente et exhaustive sur les finalités du traitement ainsi que sur l’identité des responsables de traitement ;

  • n’avait pas la possibilité de donner un consentement spécifique. Le consentement au traitement de ses données personnelles étant le résultat d’une validation en bloc ; et,

  • n’avait pas exprimé son consentement par un acte positif et simple. En effet, le consentement au traitement des données résulte d’un système d’opt out et l’opposition au traitement se fait d’une manière plus compliquée que l’acceptation.

Pour plus de détails sur la décision de mise en demeure voir notre commentaire sur le blog.

  1. La mise en conformité de la société Vectaury

Suite à ces griefs la société Vectaury, pour se conformer aux exigences réglementaire, a modifié sa fenêtre pop-up et a développé une bannière s’affichant lors de l’installation des applications mobiles avant la collecte des données. Ainsi, les utilisateurs sont informés avant toute collecte de leurs données :

  • de la finalité du traitement c’est-à-dire de la publicité ciblée géolocalisée ;

  • de l’identité des responsables de traitement accessible aisément grâce à un lien cliquable ; et,

  • de la nature des données collectées : l’identifiant publicitaire du téléphone (IDFA) et les données de géolocalisation.

Les utilisateurs sont amenés à cliquer sur un bouton pour exprimer leur consentement. Ils sont également informés de la possibilité de retirer leur consentement à tout moment. Ils peuvent  également recevoir une information plus complète concernant leur droit grâce à un lien cliquable. Les utilisateurs sont donc en mesure d’accepter ou de refuser que leurs données de géolocalisation soient traitées à des fins publicitaires, étant précisé qu’en cas de refus la qualité du service ne sera pas altérée.

A présent, la société ne devrait  traiter que des données d’utilisateurs dont le consentement a été valablement recueilli en amont de la collecte des données. Ainsi, les traitements réalisés disposeraient donc d’une base légale valide au sens du RGPD.

Par conséquent, la CNIL a décidé de prononcer à la clôture de la mise en demeure de la société Vectaury.

  1. Des décisions constitutives d’un référentiel en matière de consentement

Cette clôture s’insère dans la même vague que celles des autres startups, Teemo, Singlespot et Fidzup, à qui il était également reproché une absence de conformité avec le RGPD. S’inscrivant dans une démarche pédagogique, la CNIL a fait le choix de ne pas directement sanctionner les quatre sociétés  par une amende mais de leur laisser à chacune un délai de trois mois afin qu’elles puissent se mettre en conformité avec le RGPD.

Ces quatre décisions constituent un référentiel/une doctrine quant au niveau d’exigence attendu aujourd’hui par la CNIL. Cette dernière s’est basée sur l’avis du G29 pour apprécier les critères que doit revêtir le consentement pour constituer une base valide au sens du RGPD (article 6 du RGPD). En faisant directement référence à l’avis du G29 sur le consentement, la CNIL détaille ce qu’elle entend par un consentement libre, spécifique éclairée et unique (article 4. 11 du RGPD). Ces décisions permettent ainsi, d’une part, de définir de manière précise et pratique ce à quoi correspond le consentement et d’autre part, ce pour quoi il est requis. Cela ayant pour conséquence d’assurer un socle minimum de protection pour les utilisateurs.

Le niveau de précision donnée par la CNIL quant à la définition et à la délimitation de la notion de consentement, permettra d’assister à court terme, à une mise à niveau générale de conformité dans le secteur de la publicité ciblée et, sans doute par extension, dans l’ensemble du marché publicitaire en ligne. L’objectif étant d’arriver à un niveau de protection élevé et uniformisé entre les différents acteurs du marketing digital.