Absence de consentement des personnes au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire : la Cnil avait invoqué ce motif pour ouvrir, fin juin, une procédure de mise en demeure à l’encontre de Teemo (ex-Databerries).
Le dossier est clos depuis le 3 octobre, l’entreprise française s’étant conformée à la loi.
Ce n’est pas le cas de son compatriote Singlespot, épinglé pour le même manquement.
Trois mois lui sont laissés pour modifier ses méthodes de recueil du consentement des utilisateurs.
Le consentement en question porte sur la collecte de données de géolocalisation par l’intermédiaire d’un SDK intégré dans les applications mobiles d’une quinzaine de partenaires (essentiellement des éditeurs de presse). L’opération s’effectue soit à périodes de temps fixe (toutes les 5 minutes sur Android), soit selon la distance parcourue (tous les 200 mètres sur iOS).
Leur croisement avec des « points d’intérêt » (typiquement, les coordonnées géographiques de commerces) alimentent des campagnes marketing pour le compte d’annonceurs.
Lors d’une mission de contrôle effectuée le 29 mai 2018, la Cnil avait constaté la présence, dans la base de données de l’entreprise, de 14 344 760 identifiants publicitaires distincts. Plus de 5 millions étaient associés à des données de géolocalisation.
Singlespot affirme disposer du consentement des personnes concernées pour traiter ces informations.
La Cnil estime que ce n’est pas le cas. En premier lieu parce que les utilisateurs ne sont pas spécifiquement informés du fait qu’autoriser le système à accéder aux données de géolocalisation entraîne leur transmission à Singlespot.
Pour clarifier la situation après le contrôle, un avenant a été apporté aux contrats avec les partenaires. Ces derniers sont chargés d’informer les utilisateurs « selon une formulation et un format à convenir avec Singlespot ».
Une initiative que la Cnil juge insuffisante : elle ne fixe pas les exigences concrètes et précises de la forme dans laquelle le consentement de l’utilisateur devra être recueilli.
La politique de confidentialité des applications ne suffit en outre pas, car Singlespot n’impose qu’une seule référence à sa société. En outre, l’information est tardive : elle n’est accessible qu’après collecte des données. On ne peut par ailleurs consentir spécifiquement à la collecte et à l’utilisation à des fins publicitaires : le tout ne peut être accepté ou refusé qu’en bloc.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…