Si les journalistes devaient être remplacés par des robots, ce serait tout d’abord pour écrire sur les mises en demeure par la Cnil de sociétés gravitant dans le monde de la collecte de données de géolocalisation à des fins de ciblage publicitaire. Voici donc une quatrième entreprise mise en demeure depuis juillet… et l’année n’est pas encore terminée.
Et de quatre ! non, franchement, ça commence à devenir lassant… La Cnil vient de mettre en demeure… devinez… vous avez trouvé ? Eh oui, il s’agit bien d’une société pratiquant le ciblage publicitaire en collectant les données de géolocalisation des utilisateurs d’applications ayant intégré son SDK. Notons néanmoins, petite nouveauté, que Vectaury, l’entreprise mise en cause par le gendarme des données personnelles, reçoit également des données de géolocalisation « via des offres d'enchères en temps réel initialement transmises dans le but de permettre à la société d'acheter un espace publicitaire », les fameuses « bid requests ».
Et c’est sans aucune surprise à l’occasion d’une mission de contrôle les 19 et 20 avril 2018 que la délégation de la Cnil a découvert les manquements. Et en premier lieu, un défaut de collecte du consentement des personnes concernées. Et pourtant, Vectaury a bien fait les choses depuis son contrôle, adhérant à l’Interactive Advertising Bureau et mettant au point avec l’aide de l’association de publicitaires un CMP, pour Consent Management Provider. Et s’affiche donc un message demandant à l’utilisateur s’il veut bien voir ses données collectées.
Le modèle des bid requests encore en cause
Manque de pot, non seulement la Cnil estime que le texte du message manque de transparence et de clarté, laissant notamment entendre à l’utilisateur que s’il n’accepte pas, le service risque de devenir payant ou d’afficher des publicités intrusives (une plaie sur mobile, comme chacun sait). D’autant que le CMP n’est pas « systématiquement implanté dans les applications ». Enfin, concernant les bid requests, qui ont permis à la société « de recueillir plus de 42 millions d'identifiants publicitaires et les données de géolocalisation à partir de plus de 32 000 applications », ces enchères commercialisent des données dont la collecte n’a pas forcément été consentie dans les modalités prévues par la loi.
Or que nous dit le RGPD dans sont article 7 ? Que « dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ». Vectaury, ici responsable du traitement, doit donc être en mesure de prouver le consentement exprimé par l’ensemble des personnes concernées par la collecte de la totalité de ces données. Ce que la société n’est pas en mesure de faire, selon la Cnil. Elle est donc mise en demeure de redresser la barre dans les trois mois.
