Le 25 juin 2018, la CNIL a mis en demeure les sociétés TEEMO et FIDZUP de se conformer au Règlement Général de Protection des données (RGPD) ainsi qu’à la Loi Informatique et Liberté (LIL). Elle constate notamment un manquement à l’obligation de recueillir le consentement des personnes concernées préalablement au traitement de leurs données.

La CNIL laisse trois mois aux sociétés pour se mettre en conformité à la législation en vigueur. Elle profite de l’occasion pour informer les acteurs du secteur de la publicité ciblée qu’elle s’est emparée de ce sujet pour les mois à venir, et qu’elle sera donc vigilante sur la mise en œuvre du RGPD au sein de ce marché, particulièrement rétif jusqu’ici à mettre en place les bonnes pratiques. À bon entendeur…

1.       La collecte de données de géolocalisation pour réaliser de la publicité ciblée

La société Teemo vend un système de publicité ciblée qui repose sur plusieurs protagonistes.

Tout d’abord, on trouve l’internaute, qui utilise des applications sur son smartphone. Il s’agit, au sens du RGPD, de la « personne concernée », puisque ce sont ses données qui vont être collectées lorsqu’il démarre l’application (tout comme lorsqu’il visite un site web).

Vient ensuite l’éditeur de cette application, qui permet à la société Teemo d’inclure dans son application un logiciel (« Software Development Kit » ou « SDK ») qui, à l’instar d’un cookie sur le web, collecte les données émanant du smartphone, dont sa géolocalisation ainsi que l’identifiant publicitaire unique associé à l’appareil. Ce SDK permet in fine d’afficher des publicités par le biais de l’application, ciblées en fonction des informations collectées depuis le smartphone, relatives donc à son utilisateur.

Les SDK permettent de collecter de nombreux types de données, qualifiées de « données de communications électroniques » par la règlementation ePrivacy, et que le futur règlement ePrivacy, qui viendra compléter le RGPD, élève au rang de données hautement intrusives puisqu’elles permettent à la fois des profilages très poussés et la géolocalisation de l’utilisateur.

La société Teemo collecte et revend ces données à des annonceurs (enseignes commerciales). Les annonceurs fournissent alors à la société Teemo et à l’éditeur de l’application des contenus publicitaires ciblés qui indiquent, par exemple, le magasin le plus proche de l’utilisateur, en fonction de là où il se trouve et en temps réel. Ces publicités prennent en compte la situation géographique, les déplacements, et les préférences d’achat de l’utilisateur (« points of interests » ou « POIs ») avec lesquels la géolocalisation est matchée (sur le sujet, V. l’infographie de vulgarisation proposée par la CNIL).

Le fonctionnement du produit de la société Fidzup est similaire. Un SDK est intégré dans l’application d’un partenaire de la société, et collecte des données de géolocalisation, ainsi que les adresses MAC des smartphones des utilisateurs (là encore, identifiant unique propre à l’appareil, qui identifie donc également son porteur). La société Fidzup installe en outre des bornes physiques (Fidbox) dans des points de vente d’enseignes commerciales. Les enseignes peuvent ainsi réaliser une campagne de publicité ciblée lorsqu’un utilisateur se trouve dans leur point de vente ou à proximité de leur Fidbox.

Ces dispositifs relèvent plus généralement de l’écosystème technique désormais classique de la publicité digitale, qu’on retrouve à la fois sur internet et dans le monde tangible, via des capteurs (cookies, beacons, portails wifi, SDK, etc.), et qui lie au sein d’une même chaîne (i) les éditeurs (ou « publishers ») qui entendent rentabiliser les espaces publicitaires sur leurs sites ou applications, (ii) les nombreux intermédiaires en publicité (DSP, SSP, trading desk, etc.), dont les solutions de marketing mobile friandes de suivi comportemental, et (iii) les annonceurs, désireux d’affiner leurs campagnes en fonction d’informations les plus précises possibles sur leurs clients potentiels.

Suite à l’étude de ces collectes par le biais de SDK, la CNIL indique que (i) les sociétés Teemo et Fidzup sont des Responsables de traitement, et que (ii) le consentement des personnes concernées n’a pas été recueilli de manière préalable, claire, libre et spécifique, conformément aux exigences du RGPD. Les traitements sont donc illicites.

 

2.       Responsabilité de l’éditeur de SDK pour la collecte de données personnelles

Alors qu’on aurait pu penser, de prime abord, que les intermédiaires en publicité n’interviennent que comme « sous-traitants » de leurs clients (qu’on considère ici les annonceurs ou les éditeurs, sur le marché biface où évoluent les prestataires de publicité digitale), en réalité il convient en effet de qualifier la société Teemo de Responsable de traitement :

  • Teemo a pris l’initiative de la création et définit les finalités de son logiciel ;

  • Le logiciel de collecte est fourni par Teemo aux éditeurs ;

  • Les données collectées sont intégrées au sein d’un fichier de Teemo ;

  • Les données sont analysées et interprétées par Teemo ;

  • Les résultats sont proposés par Teemo aux annonceurs.

Teemo détermine donc les finalités du traitement (la publicité ciblée) et les moyens de traitement mis en œuvre. Le fait que les données collectées le soient par le biais d’une application tierce (éditeur/publisher), ou qu’elle permette de diffuser les campagnes publicitaires d’une marque (annonceur), n’emporte pas de conséquence sur la qualification de la société Teemo en Responsable de traitement.

La qualification n’a en réalité rien de surprenant. Le G29 a déjà eu l’occasion de rappeler que « le fournisseur de réseaux publicitaires » (dans le cas présent, Teemo), « les diffuseurs » (l’éditeur de l’application qui permet l’affichage de publicité), et « les annonceurs » (les enseignes commerciales) constituent tous, chacun à leur niveau, des responsables de traitements ou des « coresponsables du traitement » (Avis 2/2010 sur la publicité comportementale en ligne, du 22 juin 2010).

Il est très important de bien comprendre le raisonnement des autorités de contrôle à cet égard.

  • S’agissant de l’annonceur, qui prend l’initiative de déployer une campagne ciblée, le G29 indique que « [lorsqu’une] personne concernée clique sur une annonce et visite le site web de l’annonceur, ce dernier peut tracer quelle campagne a entraîné le clic publicitaire. Si l’annonceur saisit l’information de ciblage (par exemple, certaines données démographiques telles que « jeunes mamans » ou un groupe d’intérêt comme « amateur de sports extrêmes ») et la combine avec le comportement de navigation ou les données d’inscription de la personne concernée, il est alors un responsable autonome du traitement des données pour cette partie du traitement» ;

  • S’agissant du diffuseur, qui rentabilise ainsi le fonctionnement de son application ou les espaces publicitaires de son site web, le G29 énonce que « les diffuseurs, quant à eux, louent des espaces sur leurs sites web aux réseaux publicitaires afin qu’ils affichent des publicités. Ils élaborent leurs sites web de manière à ce que les navigateurs des visiteurs soient automatiquement redirigés vers la page web du fournisseur de réseau publicitaire (qui enverra alors un cookie et diffusera une publicité personnalisée). Cette méthode pose la question de la responsabilité des diffuseurs dans le traitement des données. (…) En d’autres termes, le diffuseur déclenche le transfert de l’adresse IP, qui constitue la première étape nécessaire pour permettre le traitement ultérieur effectué par le fournisseur de réseau publicitaire afin d’envoyer des publicités ciblées.» Ce qui était dit à l’époque de l’adresse IP, est également applicable à l’adresse MAC ou aux données de géolocalisation ;

  • S’agissant enfin des intermédiaires en publicité, que le G29 qualifie de « fournisseurs de réseaux publicitaires », le G29 énonce que « les obligations énoncées à l’article 5, paragraphe 3, de la directive « vie privée et communications électroniques » s’appliquent à ceux qui placent des cookies et/ou récupèrent des informations à partir des cookies déjà stockés dans l’équipement terminal de la personne concernée. Au regard de l’article 5, paragraphe 3, il importe peu que l’entité qui place ou lit le cookie soit un responsable du traitement ou un sous-traitant. Dans le cadre de la publicité comportementale, cette interprétation fait peser l’obligation d’obtenir un consentement informé sur les fournisseurs de réseaux publicitaires. (…) Lorsque la publicité comportementale implique le traitement de données à caractère personnel, les fournisseurs de réseaux publicitaires peuvent également être responsables du traitement. (…) Ils « louent » des espaces sur les sites web des diffuseurs pour y placer leurs annonces ; ils définissent et lisent les informations des cookies et, le plus souvent, ils collectent l’adresse IP et d’autres données éventuelles révélées par le navigateur. En outre, les fournisseurs de réseaux publicitaires utilisent les informations collectées sur le comportement de navigation des internautes afin de constituer des profils et de choisir et diffuser des publicités qui seront affichées en fonction de ce profil. Dans ce scénario, les fournisseurs de réseaux publicitaires agissent donc clairement comme des responsables du traitement ».

En l’espèce, concernant la qualification des données collectées, trois jeux de données sont collectés : les données de géolocalisation, les identifiants publicitaires (Teemo) et les adresses MAC (Fidzup).

Les données de géolocalisation sont des données personnelles indirectes puisqu’elles permettent l’identification d’une personne lorsqu’elles sont associées à des données d’identification directes, et renseignent sur sa localisation et ses déplacements.

Les identifiants publicitaires (IDFA, AAID) et les adresses MAC sont des identifiants uniques, stockés de manière permanente sur le terminal de l’utilisateur. Tout comme l’adresse IP, ces données sont personnelles puisqu’elles permettent l’identification directe ou indirecte de l’utilisateur du terminal au moment de la collecte.

Ces données sont soumises à la directive 2002/58/CE du 12 juillet 2002, modifiée par la directive 2009/136/CE du 25 novembre 2009, qui protège la vie privée des individus dans leur utilisation des services de communications électroniques. Mais cette réglementation sectorielle n’est pas exclusive de l’application de la réglementation générale sur la protection des données personnelles.

Or, les traitements qui portent sur des données personnelles sont soumis au RGPD et à la LIL. L’article 4 du RGPD rappelle à cet égard que constitue une donnée à caractère personnel « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Conséquemment, la collecte et l’exploitation de ces données à des fins de profilage et de marketing ou de publicité ciblés imposent aux responsables de traitement de s’assurer de leur base légale et en l’occurrence, d’obtenir le consentement préalable de la personne.

C’est pour cette simple raison que les bandeaux d’information « cookies » sur les sites internet, changent en profondeur en ce moment, puisque les éditeurs ont l’obligation de s’assurer que les internautes, personnes concernées, ont pleinement conscience des collectes et traitements qui sont faits de leurs données, et qu’ils y consentent en pleine connaissance de cause. Ce qui est valable pour les sites web, ne l’est pas moins pour les applications mobiles.

3.       Les fondamentaux du consentement selon le RGPD

Pour la CNIL, le consentement recueilli par les deux sociétés en cause ne répondait pas aux exigences légales : il n’est ni préalable au traitement, ni éclairé, ni libre, ni spécifique.

Rappelons qu’au sens du G29, le consentement exigé par le RGPD doit revêtir les caractères suivants :

  • Consentement univoque résultant d’un acte positif indubitable (il n’est donc plus question de consentement implicite ou plus ou moins évasif) ;

  • Consentement libre et inconditionné (ce qui implique de ne pas le « surprendre » en le couplant d’autorité avec l’acceptation des CGU de l’application, ou de refuser la connexion à l’utilisateur qui n’accorderait pas son consentement…) ;

  • Consentement spécifique (ce qui implique de distinguer le consentement au ciblage publicitaire du consentement aux CGU de l’application, mais aussi d’autres finalités comme le profilage aux fins de prospection commerciale personnalisée) ;

  • Consentement librement et facilement révocable;

  • Consentement éclairé (ce qui implique de clairement expliquer à quoi seront utilisées les données de communication électronique dont la géolocalisation ou les contenus consultés sur l’application, avec des mentions suffisamment précises).

Il est très important pour les acteurs de ce secteur de bien comprendre le sens et les implications de ce consentement. Il s’agit bien d’un consentement exprès, donné dans des conditions qui suppriment toute équivoque quant aux bénéficiaires des données et aux finalités poursuivies, et que la personne concernée doit donner de manière positive.

Plus précisément, Le G29 considère que pour qu’un consentement soit éclairé et donc valide, la personne concernée doit a minima avoir été informée des éléments suivants :

  • L’identité du responsable de traitement ou, le cas échéant, des responsables conjoints du traitement ou des responsables de traitement ultérieurs souhaitant effectuer des traitements sur la base du consentement initial ;

  • La ou les finalité(s) correspondant aux traitements pour lesquels le consentement est recueilli ;

  • Les catégories de données qui seront collectées et utilisées ;

  • Les destinataires des données collectées ;

  • L’éventuelle existence d’un dispositif de prise de décision algorithmique ou automatisée à partir des données collectées, incluant le profilage de la personne concernée, conformément à l’article 22 du RGPD ;

  • Les risques liés aux éventuels transferts de données vers des pays tiers en l’absence d’une décision d’adéquation ou de garanties appropriées (clauses contractuelles types, BCR…).

Contrairement aux affirmations spécieuses répandues çà et là dans les médias par certains acteurs de la publicité digitale, dont parfois les plus éminents, un consentement « par défaut », « implicite » ou « sous-entendu par la poursuite de la navigation », n’est pas constitutif du consentement éclairé et exprès exigé par la réglementation. On a lu en particulier certains acteurs prétendre distinguer le consentement « non ambigu » qui se prouverait de manière alambiquée sur la base du principe « qui ne dit mot consent… », et le consentement « explicite » qui ne s’appliquerait qu’aux données sensibles.

C’est n’avoir rien compris au RGPD, ou feindre l’incompréhension, que de prétendre effectuer cette distinction. Le consentement de base, exigé pour la collecte de toute donnée personnelle non fondée sur une autre base légale, doit être exprès et positif, en toute hypothèse. Et s’il s’agit de données sensibles, le consentement doit être « explicite », c’est-à-dire renforcé, par exemple avec une double émission de consentement.

Ces tentatives d’interprétation opportunistes ne tiennent donc pas devant la réaffirmation de ce que doit être le consentement des personnes au ciblage publicitaire. Le temps est révolu des collectes sauvages justifiées par une vague acceptation à la « localisation de votre appareil » sans contexte ni finalité, de même que le « forçage » du consentement par mille et une techniques marketing plus ou moins trompeuses.

Du reste, une partie du marché de la publicité en ligne l’a parfaitement compris, qui entend désormais refuser les inventaires non assortis de la preuve des consentements des utilisateurs, et qui travaille à la conception d’un framework global (IAB) de gestion du consentement d’un bout à l’autre de la chaîne d’acheminement des contenus publicitaires ciblés.

Certes, on peut objecter que compte tenu de la très grande diversité des systèmes d’information et des formats techniques, la gestion harmonisée du consentement est un casse-tête technique. Mais la difficulté technique n’a jamais été une bonne excuse pour ne pas appliquer la loi. Bien au contraire, le RGPD a ceci de caractéristique qu’il exige que les systèmes, et pas seulement les organisations, se plient à ses exigences et comportent, de manière structurelle, la protection des données personnelles.

Par ailleurs, le ciblage publicitaire doit respecter l’article 13 de la directive de 2009 relative à la vie privée et aux communications électroniques, transposé à l’article L.34-5 du Code des Postes et des Communications Électroniques. Et cette réglementation aussi affirme que la prospection commerciale par le biais de cookies ou par celui d’une application et d’un SDK, est interdite sauf à recueillir préalablement le consentement du potentiel prospect de manière libre, informé et spécifique.

Teemo et Fidzup ne respectant aucun de ces textes, la condamnation était inévitable.

4.       Pourquoi Teemo et Fidzup n’étaient pas conformes

À l’installation de l’application, aucune notification ne mentionnait la collecte des données de géolocalisation, ni de l’identifiant publicitaire ou l’adresse MAC, aux fins de publicité ciblée. Certes un consentement était demandé à l’installation de l’appli, mais uniquement pour permettre son fonctionnement elle-même, via une formule très générale : « Autoriser […] à accéder à votre position ? Information pour toujours : pour profiter pleinement de l’application et vous proposer des contenus au plus proche de vos attentes ».

Impossible de prétendre collecter un consentement éclairé avec des informations aussi générales. Impossible, en outre, de prétendre que ce consentement valait pour la finalité distincte de publicité ciblée.

La CNIL a donc logiquement considéré que ce bandeau ne permettait pas de connaître l’ensemble des finalités et traitements auxquels étaient soumises les données, et ne pouvait valider le fonctionnement du SDK. Le consentement demandé et recueilli était trop général, et non spécifique comme exigé par les textes légaux.

La seule information complète de l’utilisateur se faisait via une « charte de vie privée », accessible après l’installation du logiciel, et donc après la collecte des données. L’information relative à la publicité ciblée était donc postérieure au traitement, et ne saurait en toute hypothèse remplacer un véritable consentement préalable.

Pareillement, en cas de mise à jour de l’application pour intégrer le SDK, aucune information sur les données collectées n’était adressée à l’utilisateur. Seule la charte de vie privée permettait de prendre conscience du traitement réalisé. Le consentement est inexistant : il n’était pas préalable et ne pouvait donc être éclairé. Il était donc « déloyal » et de fait, illicite.

De plus, selon le G29 et la CNIL, le consentement doit être inconditionné et spécifique. On ne peut donc pas prétendre recueillir le consentement spécifique de la personne lorsque les données sont collectées sur la base des CGU ou d’une « charte » de l’application, alors qu’elles ne sont pas indispensables au fonctionnement de l’application.

Les lignes directrices du G29 sur le consentement (WP 259) précisent que dès lors que « le consentement est présenté comme une partie non négociable des conditions générales, l’on considère qu’il n’a pas été donné librement ». L’absence de possibilité de refuser un traitement ou de faculté de retrait du consentement de la personne concernée sans subir de préjudice vicie le consentement.

Schématiquement, le consentement au contrat est distinct du consentement aux traitements complémentaires indépendants ou accessoires au contrat : si la donnée est nécessaire à l’exécution du contrat, pas besoin de consentement propre. Si au contraire la donnée n’est pas nécessaire au contrat, on ne peut la collecter qu’avec un consentement propre. Et en principe, la géolocalisation de l’utilisateur ou l’envoi de campagnes de publicités ciblées n’est pas indispensable au fonctionnement d’une application.

Or, dans le cas de Teemo et de Fidzup, l’utilisation de l’application ne pouvait pas se faire sans l’acceptation du SDK de collecte, et donc sans la captation des données de géolocalisation, des identifiants uniques, ou de l’adresse MAC. Or, lier ces deux finalités distinctes, alors que la collecte des données de géolocalisation n’est pas indispensable à l’utilisation de l’application rend le consentement contraint et donc non valable, puisque non libre.

La solution adoptée ici par la CNIL est donc conforme aux préconisations du G29 dans son avis du 13 juillet 2011, qui définit un consentement éclairé comme une manifestation de volonté libre, spécifique et informé. L’absence d’un de ces éléments entraîne ipso facto le rejet de la qualification de consentement éclairé et prive le traitement de sa base légale.

5.       Les préconisations avant éventuelles sanctions

Conforme à son intention d’être bienveillante dans un premier temps dans la sanction des non-conformités au RGPD (bien que les non-conformités relevées soient également un manquement à la règlementation ePrivacy qui existe depuis 2002…), la CNIL impose à la société Teemo de limiter la collecte de données à ce qui est strictement nécessaire pour la finalité envisagée.

Cela suppose une réduction de la durée de conservation des données de géolocalisation (ou « l’anonymisation des données anciennes »), uniquement si elles sont strictement nécessaires au fonctionnement de l’application et via le recueil d’un consentement réellement éclairé, ainsi que la mise en œuvre d’une suppression automatique des données de géolocalisation de l’utilisateur une fois celles-ci mises en correspondance avec les points d’intérêts définis par les enseignes commerciales.

À propos des relations de Teemo avec ses sous-traitants, la CNIL met en demeure la société d’organiser et de s’assurer que les obligations de sécurité et de confidentialité de ces derniers sont respectées. Ce point est d’autant plus important que les transferts de données hors de l’Union européenne (vers Google Cloud) doivent respecter le niveau de protection exigé par le RGPD, soit par signature de clauses contractuelles types, soit par le recours à une autre des garanties prévues par le RGPD, soit, pour l’heure, en se référant au Privacy Shield.

En toute hypothèse, la CNIL impose aux entreprises visées (i) de recueillir le consentement dans les conditions prévues par le RGPD, spécifiquement pour la publicité ciblée, et de s’abstenir de collecter les données à cette fin sinon, (ii) de supprimer les données collectées dans le cadre de la géolocalisation nécessaire au fonctionnement de l’application, une fois les « points of interest » établis, et (iii) de définir une politique précise en matière de durées de conservation, en lien avec chacune des finalités en cause.

La CNIL propose aux sociétés de mettre en place un système pop-up d’information et recueil de consentement de l’utilisateur qui fournit à la personne concerné les informations obligatoires quant aux traitements réalisés (finalités, durée de conservation, destinataires, droits des personnes concernées). Ce bandeau doit contenir une case à cocher expressément pour accepter le traitement des données personnelles à des fins de publicité ciblée. Le consentement devient ainsi éclairé, libre et spécifique, et laisser à l’utilisateur la possibilité claire de refuser cette implantation (OUI/NON).

Ces décisions de la CNIL insistent sur le fait qu’elle a bien compris l’intérêt économique et technologique des SDK pour les professionnels de la publicité, invoqué par nombre d’acteurs pour tenter de justifier leurs méthodes de recueil sauvage du consentement, voire leur défaut complet de recueil du consentement. Toutefois, elle rappelle que ces intérêts économiques ne peuvent pas avoir d’impact sur la protection des données personnelles et sur le respect de la vie privée des personnes concernées.

Le nombre de personne concernées par les collectes étudiées atteint environ 1.5 million d’individus par jour pour Teemo, et plus de 5 millions pour Fidzup ! Il ne s’agit donc pas d’un cas anecdotique, sanctionnant une pratique isolée, mais le rappel des règles applicables à l’ensemble du marché de la publicité ciblée, d’autant plus importantes qu’il s’agit assurément ici de traitements à très grande échelle, sur des données potentiellement très intrusives.

6.       Conclusion : il est temps de s’y mettre !

On doit souligner que le principe n’a rien de neuf. La règlementation ePrivacy a déjà posé ce principe de longue date. Le RGPD n’a fait ici que le renforcer, et il n’est plus question de tergiverser. En outre, la CNIL avait déjà refusé à JC Decaux, justement en partenariat avec Fidzup, une autorisation pour traiter des données de géolocalisation en l’absence d’information préalable et de possibilité pour les personnes concernées de s’opposer à cette collecte.

La CNIL n’a de cesse, dans un louable effort didactique, de lutter contre un certain nombre d’idées reçues et d’interprétations erronées, qu’on peut rappeler ici :

  • Non, la géolocalisation de l’utilisateur d’un mobile n’est pas automatique, ni indispensable, ni naturelle, hormis pour l’opérateur de communications électroniques qui doit nécessairement localiser le terminal, pour acheminer les appels et messages, sur la base de son contrat;

  • Oui, les identifiants techniques, les profils, les fingerprints, sont des données personnelles et des agrégats de données personnelles indirectes, et sont à cet égard soumis au respect du RGPD, outre la réglementation ePrivacy ;

  • Non, le consentement à la collecte des données de communications électroniques ou de la géolocalisation ne peut pas être inclus dans le consentement aux CGU des applications mobiles, ni confondu avec le consentement pour d’autres finalités ;

  • Non, l’exigence du consentement préalable à l’implantation de technologies de suivi n’est pas neuve, puisqu’elle existe depuis au moins 2009 en droit européen et en droit français. Le RGPD ne fait que donner force à cette exigence ;

  • Non, ces dispositions ne constituent pas des primes aux éditeurs étrangers comme les GAFAM, qui sont tout autant que les acteurs européens soumis à ces obligations de recueil préalable d’un consentement éclairé, libre, univoque et probant, notamment pour leurs propres stratégies marketing ou publicitaires. Le fait qu’ils disposent d’inventaires publicitaires supérieurs, de vastes bases de données, et jouissent de positions dominantes n’est ni favorisé ni combattu par le RGPD qui vise à protéger les données à caractère personnel quel que soit le responsable de traitement;

  • Non, ces dispositions ne freinent pas l’innovation ni ne nuisent à la gratuité du web : elles conduisent seulement les acteurs de ces marchés à développer des technologies et stratégies respectueuses du choix de chaque utilisateur, et en ce sens, elles favorisent au contraire une innovation fondée sur la qualité de la donnée et non nécessairement sa quantité, tournée vers les intérêts des utilisateurs, et contribuant à leur redonner le contrôle effectif de leurs données personnelles ;

  • Oui, la capacité à analyser les marchés, à imaginer de nouveaux services, à mesurer l’efficacité des produits, à effectuer des recherches en data science, est préservée, dès lors que les acteurs travaillent sur des données réellement anonymisées.

Gageons que les condamnations vont rapidement s’intensifier pour les acteurs du marché qui ne se résigneraient pas suffisamment rapidement à restreindre leurs traitements aux données des seules personnes ayant expressément accepté qu’on utilise leurs données personnelles afin de leur proposer des publicités personnalisées : la CNIL rappelle qu’il est indispensable de disposer d’une base légale forte et de recueillir préalablement le consentement des personnes avant tout traitement. Sans quoi les dispositions légales ne sont pas respectées et pourront faire l’objet d’une sanction atteignant 4% du chiffre d’affaires des sociétés qui ne se conformeront pas à la règle.

*