Et voilà une troisième entreprise pratiquant le ciblage publicitaire géolocalisé mise en demeure par la Cnil de se mettre en conformité avec la loi. Là encore, défauts du recueil du consentement de l’utilisateur et du respect d’une durée de conservation des données proportionnée à la finalité du traitement, auxquels s’ajoute une perméabilité malvenue entre la base de données et des tests de développement.
Singlespot, une jeune société parisienne spécialisée dans le ciblage publicitaire par géolocalisation, a eu droit la semaine dernière aux douces attentions de l’autorité de protection des données personnelles. Depuis, dans nos boîtes mail, ça s’affole ! Trois sociétés épinglées depuis cet été (quoique une des procédures a été close) : ne peut-on plus géolocaliser les utilisateurs tranquillement ? s’interrogent consultants et experts. Eh bien sachez que non, la Cnil est partout, la Cnil sait tout. Et lorsque vous collectez sans leur consentement les données des passants, ce souffle chaud que vous sentez sur votre nuque, c’est encore la Cnil !
Plaisanterie à part, le cas de Singlespot est similaire à celui de Teemo et de Fidzup en juillet dernier. La jeune pousse a recours à un SDK installé dans le code de 25 applications partenaires (venant essentiellement d’éditeurs de presse) afin de collecter identifiants publicitaires des smartphones et diverses données de géolocalisation. A l’occasion d’un contrôle de routine, la Cnil a constaté que lors du téléchargement d’une de ces applications, « lorsque l’utilisateur d’un ordiphone valide l’autorisation système d’accès à ses données de géolocalisation pour le fonctionnement de l’application, ses données sont également transmises à la société SINGLESPOT sans qu’il en soit spécifiquement informé et sans que son consentement ne soit recueilli pour cette transmission ».
Recettes sur la prod
A ce défaut du recueil du consentement et d’information de l’utilisateur quant à la finalité du traitement de ses données et à l’identité du responsable du traitement s’ajoute le fait que « toutes les données de géolocalisation des mobinautes sont collectées et conservées dans la base de données de la société, même lorsqu’ils sont situés en dehors des points d’intérêts géographiques déterminés » et sont conservées 13 mois. En outre, cette base de données contenant « 14 344 670 identifiants publicitaires distincts dont 5 529 383 identifiants sont associés à des données de géolocalisation » est utilisée pour des tests de développement.
Considérant ces divers manquements, le gendarme des données a mis en demeure Singlespot de se mettre en conformité avec la réglementation en vigueur. Dans le détail, la Cnil exige de la société qu’elle mette en place un système de recueil du consentement de l’utilisateur et qu’elle définisse une « politique de durée de conservation des données raisonnable ». Enfin, Singlespot se voit conseillée ardemment de séparer les environnements de développement et de production. Et ce dans un délai de trois mois.