Knowledge is power

Be in the know when new articles are published

RGPD : géolocalisation et marketing

Le 19 Juillet 2018, la CNIL a mis en demeure les sociétés FIDZUP et TEEMO pour avoir collecté et traité des données de géolocalisation issues des smartphones de leurs utilisateurs sans obtenir leur « consentement » au sens du RGPD et de la loi Informatique et Liberté, et pour non-respect des durées de conservation.

Ayant conclu des partenariats avec des développeurs d’application, FIDZUP et TEEMO ont recouru à des technologies de type « SDK » permettant de collecter des données en masse, même lorsque les applications installées sur des smartphones ne sont pas en fonctionnement.

Les applications sont généralement basées sur un des trois modèles économiques suivants :

  • Le prolongement d’un service déjà facturé au client (application bancaire, application de réservation de train…) ;
  • L’intégration de contenus payants dans des applications gratuites (un modèle « free-to-play » très utilisé dans les jeux mobiles à succès) ;
  • La collecte et la monétisation de données collectées à des fins publicitaires par des tiers.

Engendrant le plus souvent des collectes massives de données à caractère personnel, ce dernier modèle, s’il est mis en place, doit parfaitement embrasser la réglementation applicable en matière de protection des données, sous peine d’engendrer des collectes illicites de données et de voir le régulateur sévir.

C’est le cas de FIDZUP et de TEEMO qui ont été publiquement mis en demeure par la CNIL pour défaut d’obtention du consentement et pour non-respect des durées de conservation.

RGPD et Marketing : que dit le règlement européen ?

  • Smartphone et identifiants uniques : souriez, vous êtes traqués

Depuis les affaires Snowden, on sait que nos smartphones sont des outils d’espionnage formidables que l’on emmène partout avec nous.

Leur étude permet de connaître nos habitudes de vie, nos centres d’intérêts, nos loisirs, nos déplacements etc.

Il fallait s’en douter, l’intérêt de ce bijou de technologie n’intéresse pas seulement les services secrets américains, mais aussi les « marketeux » qui n’ont pas tardé à exploiter ce nouveau gisement d’ « or noir du XXIème siècle ».

Les smartphones regorgent d’applications, chacune générant ses propres traitements de données.

Chaque smartphone est associé à un numéro d’identifiant unique permettant d’identifier son utilisateur.

Chez Apple, cet identifiant est dénommé « UDID » pour Unique Device Identifier, chez Android, c’est l’« AndroidID ».

A l’origine, ces identifiants permettaient aux développeurs d’effectuer des tests sur des applications et d’identifier de potentiels incidents avant leur mise en production sur le « Store ».

Mais le fait que ces identifiants uniques soient communs à toutes les applications leur donne une valeur rare et précieuse.

En effectuant des croisements de données, il est possible de connaître le type d’applications qui ont été utilisées ou qui sont utilisées par telle ou telle personne, et ainsi isoler celle-ci dans une catégorie « ciblée ».

On pourra alors distinguer l’adolescent acnéique fan d’applications de jeux de stratégie en ligne du trentenaire épicurien toujours à la recherche d’un bon restaurant sans oublié le quadragénaire adepte de Feria de Béziers.

Les dernières versions d’iOS et d’Android ont limité l’accès à l’UDID/AndroidID en créant d’autres identifiants uniques dédiés à la publicité : l’Advertising ID.

Ce changement a pour but de permettre aux utilisateurs de contrôler le ciblage publicitaire dans une logique de « Privacy by Design ».

Cependant, ces options ne sont pas décochées par défaut dans les smartphones, ce qui est contraire au principe de « Privacy by Default », et des moyens de collecte annexes permettent de les contourner.

Parmi les données qui peuvent être collectées par les applications mobiles, il en est une qui est reine : la géolocalisation, incontestablement la donnée la plus collectée de toutes.

Corrélée avec l’Advertising ID, elle permet de suivre les individus dans leurs déplacements.

On peut alors très bien imaginer notre sympathique trentenaire en train de déambuler rue Sainte-Catherine à Lyon, recevant des offres promotionnelles sur son smartphone dans le but de l’inciter à entrer dans tel ou tel établissement.

Le modèle économique derrière cette mise en corrélation est le suivant :

  • Une entreprise A récolte des informations, dont des données de géolocalisation, sur son utilisateur et les revend à une entreprise B
  • L’entreprise B enrichie les données vendues par A grâce à des corrélations avec d’autres bases de données, puis les revend à une entreprise C ;
  • L’entreprise C lance une campagne de publicité ultra-ciblée sur l’utilisateur.

Dans ce schéma simplifié, ce sont donc trois entités différentes qui interviennent dans l’économie de la data.

Les entreprises FIDZUP et TEEMO jouent le rôle de l’entreprise B, à savoir l’enrichisseur de données.

 Il convient de noter que d’autres identifiants uniques peuvent être collectés, comme le numéro IMEI (International Mobile Equipment Identity), sorte de carte d’identité du mobile, l’adresse MAC Wifi, l’identifiant de la carte SIM…

  • FIDZUP et TEEMO sanctionnés pour défaut de mise en conformité de leurs traitements

Le G29 a pris le sujet très au sérieux et a publié deux avis sur le sujet :

  • L’Avis 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents
  • L’Avis 02/2013 sur les applications destinées aux dispositifs intelligents

En substance, le G29 considère que dans le cadre des traitements de géolocalisation effectuée par des smartphones, peuvent être considérés comme responsables de traitement :

  • Les responsables d’infrastructure de géolocalisation (GPS ou WIFI par mapping des points d’accès)
  • Les fournisseurs d’applications et de services de géolocalisation
  • Le développeur du système d’exploitation
  • Des tiers qui traitent de manière active les données de géolocalisation

Lorsque deux acteurs ou plus partagent les mêmes données et déterminent ensemble les finalités du traitement, on parle de « co-responsabilité » dans les opérations de traitement.

En l’occurrence concernant FIDZUP et TEEMO, ces dernières ont profité de données initialement collectées par les développeurs d’application en insérant dans le code source de ces dernières un programme de partage automatique de données.

Une telle situation est à même de constituer un cas de co-responsabilité, et la responsabilité des développeurs des applications pourrait également être recherchée.

La base légale de ces traitements repose sur le consentement préalable des personnes concernées (art. 6.1.a) du RGPD et art. 7 et s. de la LIL).

Ce consentement doit être une manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

  • Libre: cela signifie que le consentement ne doit pas être contraint ou forcé. Il n’est par exemple pas possible pour un employeur d’obtenir le consentement libre d’un de ses employés du fait du lien de subordination qui les unis. On estime donc que le consentement ne peut jamais servir de base légale aux traitements RH.
  • Spécifique: cela signifie que le consentement doit être donné pour chacune des finalités des traitements concernés. Par exemple, il n’est pas possible de proposer une case à cocher de type « J’accepte de recevoir de newsletters de votre part et j’accepte que mes données soient géolocalisées à des fins publicitaires pour le compte de nos partenaires ».
  • Eclairé: cela signifie que la personne a obtenu une information suffisante au préalable, avant de pouvoir donner son consentement. Cela se traduit en pratique par la mise en place d’une politique de confidentialité dédiée, détaillant les modalités du traitement.
  • Univoque: cela signifie que les termes utilisés en vue de l’obtention du consentement sont parfaitement intelligibles et compréhensibles pour la personne concernée. Attention car des mesures spécifiques existent pour le consentement de mineurs : des termes clairs, simples et adaptés doivent être utilisés pour ce public particulier.

 Dans les affaires FIDZUP et TEEMO, c’est l’obtention d’un consentement valide qui faisait principalement défaut :

  • Défaut du caractère « éclairé » du consentement :
    • Pour TEEMO, les personnes concernées n’étaient pas informées, lors du téléchargement des applications mobiles partenaires, qu’un « SDK » permettait de collecter leurs données de localisation.
    • Pour FIDZUP, l’information fournie aux utilisateurs dans les CGU de l’application ou sur des affichages en magasin intervenait seulement après la collecte.

De plus, les utilisateurs n’étaient pas informés de la finalité de ciblage publicitaire du traitement mis en œuvre, ni de l’identité du responsable de traitement.

Dommage car ces deux informations sont, avec les droits des personnes, des informations essentielles selon la CNIL qui doivent se trouver dans chaque mention d’information (art. 32 LIL).

  • Défaut du caractère « spécifique » du consentement : bien qu’il était demandé aux utilisateurs de consentir à ce que leurs données de géolocalisation soient utilisées par l’application mobile, leur accord n’a pas été obtenu pour l’utilisation de ces données à des fins de ciblage publicitaire.

 Il aurait fallu que FIDZUP et TEEMO obtiennent un consentement supplémentaire afin de rendre la collecte de données de géolocalisation licite.

Il convient de noter que la notion de consentement existait déjà bien avant le RGPD dans la loi Informatique et Liberté.

Celui-ci devait être exprès, éclairé et spécifique. Le texte européen a renforcé celui-ci en précisant davantage ces caractéristiques dans une logique d’harmonisation au niveau européen.

La CNIL a également souligné que ni FIDZUP, ni TEEMO ne respectaient le principe de « Privacy by design » et « Privacy by Default ».

Ces principes consistent à appliquer, dès la conception d’un produit ou d’un service et par défaut, des règles permettant d’assurer une parfaite protection de la vie privée des utilisateurs.

En l’occurrence, il n’était pas possible pour les utilisateurs de télécharger les applications partenaires sans le dispositif « SDK » qui permettait le partage de données.

Enfin, la CNIL a sanctionné TEEMO pour avoir mis en place une durée de conservation des données de  13 mois, ce qui correspond à la durée de conservation applicable pour les Cookies et non pour les données de géolocalisation.

Considérée comme une donnée « hautement personnelle » par le G29, la conservation de cette donnée doit être beaucoup plus limitée.

Pour rappel le responsabilité de traitement a l’obligation de définir une durée de conservation des données personnelles qu’il collecte en vertu de l’article 25 du RGPD et de l’article 32 de la LIL.

Share this article

Facebook
Twitter
LinkedIn
Email
WhatsApp

Sign up to our newsletter

Thank you!

Skip to content