Absence de consentement des personnes au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire : la Cnil avait invoqué ce motif pour ouvrir, fin juin, une procédure de mise en demeure à l’encontre de Teemo (ex-Databerries).
Le dossier est clos depuis le 3 octobre, l’entreprise française s’étant conformée à la loi.
Ce n’est pas le cas de son compatriote Singlespot, épinglé pour le même manquement.
Trois mois lui sont laissés pour modifier ses méthodes de recueil du consentement des utilisateurs.
Le consentement en question porte sur la collecte de données de géolocalisation par l’intermédiaire d’un SDK intégré dans les applications mobiles d’une quinzaine de partenaires (essentiellement des éditeurs de presse). L’opération s’effectue soit à périodes de temps fixe (toutes les 5 minutes sur Android), soit selon la distance parcourue (tous les 200 mètres sur iOS).
Leur croisement avec des « points d’intérêt » (typiquement, les coordonnées géographiques de commerces) alimentent des campagnes marketing pour le compte d’annonceurs.
Lors d’une mission de contrôle effectuée le 29 mai 2018, la Cnil avait constaté la présence, dans la base de données de l’entreprise, de 14 344 760 identifiants publicitaires distincts. Plus de 5 millions étaient associés à des données de géolocalisation.
Singlespot affirme disposer du consentement des personnes concernées pour traiter ces informations.
La Cnil estime que ce n’est pas le cas. En premier lieu parce que les utilisateurs ne sont pas spécifiquement informés du fait qu’autoriser le système à accéder aux données de géolocalisation entraîne leur transmission à Singlespot.
Pour clarifier la situation après le contrôle, un avenant a été apporté aux contrats avec les partenaires. Ces derniers sont chargés d’informer les utilisateurs « selon une formulation et un format à convenir avec Singlespot ».
Une initiative que la Cnil juge insuffisante : elle ne fixe pas les exigences concrètes et précises de la forme dans laquelle le consentement de l’utilisateur devra être recueilli.
La politique de confidentialité des applications ne suffit en outre pas, car Singlespot n’impose qu’une seule référence à sa société. En outre, l’information est tardive : elle n’est accessible qu’après collecte des données. On ne peut par ailleurs consentir spécifiquement à la collecte et à l’utilisation à des fins publicitaires : le tout ne peut être accepté ou refusé qu’en bloc.
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…