Première mise en demeure de la CNIL depuis l’entrée en vigueur du RGPD de procéder à la purge des données obtenues sans consentement informé, spécifique et activement manifesté
La CNIL veille sur la collecte de vos données personnelles sans votre consentement…
Le 30 octobre 2018, la CNIL a rendu une première décision, rendue publique, en matière de traitement des données personnelles depuis l’entrée en vigueur du RGPD.
L’affaire concerne la société V. dont l’activité est d’afficher des publicités pour le compte de ses clients annonceurs, sur les ordiphones de personnes dont le profil est déterminé à partir de leurs données de géolocalisation.
La société a également pour activité de mesurer les visites des mobinautes dans les points de vente de ses clients.
La société V. emploie 56 salariés et a réalisé en 2017, un chiffre d’affaires d’environ 3,2 millions d’euros.
La société a effectué auprès de la CNIL un engagement de conformité à la norme simplifiée no 48 du 21 juin 2012 concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects.
Elle a, en outre, désigné un délégué à la protection des données le 28 mars 2018.
L’objectif de la société V. est d’établir le profil des mobinautes à partir de leurs habitudes de déplacements afin de leur proposer de la publicité ciblée.
Dans ce cadre, la société a conclu des contrats avec 5 sociétés partenaires qui éditent 19 applications mobiles largement diffusées. Elle a également déterminé des points d’intérêts (ci-après POIs) qui correspondent à des coordonnées géographiques de lieux permettant de révéler un profil de consommateur, tels que des points de vente physiques. Par la suite, la société V réalise des campagnes marketing à travers l’achat d’espaces publicitaires pour le compte de sociétés.
Afin de réaliser ce service, la société a indiqué, lors du contrôle, avoir développé un logiciel SDK, intégré par ses partenaires dans leurs applications mobiles et qui permet de collecter les données de géolocalisation ainsi que l’identifiant publicitaire mobile, le nom et la version de l’application mobile et le système d’exploitation utilisé (ANDROID ou IOS). Les données collectées grâce au logiciel sont ensuite croisées avec les POIs déterminés avec les clients annonceurs de la société V ce qui permet de qualifier le profil de l’utilisateur pour le ciblage publicitaire souhaité. Ces données sont conservées par la société au sein de la base de données utilisant l’outil.
Par ailleurs, la société V a également pour activité la mesure des visites des mobinautes dans les points de vente physiques de ses partenaires. Les données collectées via le SDK et les bid requests (une bid request désigne la formulation d’une demande d’enchère en temps réel) permettent à la société de vérifier si chaque mobinaute ciblé par des publicités s’est rendu dans un point de vente physique. Cette activité lui permet de mesurer la performance de ses campagnes publicitaires.
La CNIL, lors de son contrôle, a constaté que la société conserve dans une même base de données plus de 24 millions d’identifiants publicitaires récupérés à travers les bid requests auxquels la société a répondu et et près de 43 millions d’identifiants distincts récupérés à travers les bid requests auxquels la société n’a pas répondu.
En outre, la délégation a constaté qu’étaient présents en base plus de 5 millions d’identifiants publicitaires récupérés via les SDK installés sur les applications mobiles de ses éditeurs partenaires.
Chacun de ces identifiants publicitaires est directement lié à l’ordiphone d’une personne ayant téléchargé une application mobile d’un des partenaires ou une application de laquelle émane une bid request.
Par ailleurs, la délégation a constaté, sur plusieurs applications mobiles contrôlées intégrant le SDK de la société V que, lorsque l’utilisateur d’un ordiphone valide l’autorisation d’accès à ses données de géolocalisation pour le fonctionnement de l’application, ses données sont également transmises à la société V sans qu’il en soit spécifiquement informé et sans que son consentement ne soit recueilli pour cette transmission.
Dans le cadre de sa décision, la CNIL a relevé plusieurs manquements au RGPD à l’encontre de la société V et notamment que la société V n’est aujourd’hui pas en mesure de démontrer que les données collectées par le biais des offres d’enchères en temps réel font, actuellement, systématiquement l’objet d’un consentement informé, libre, spécifique et activement manifesté.
En conséquence, la CNIL a mis en demeure la société V sous un délai de 3 mois à compter de la notification de la présente décision, de :
- Ne pas procéder sans base légale au traitement des données de géolocalisation des personnes à des fins de ciblage publicitaire, en particulier recueillir, de manière effective, le consentement préalable, dans des conditions conformes aux dispositions des articles 6 et 7 du RGPD, des utilisateurs des applications éditées par les partenaires de la société V comme celles des utilisateurs des applications dont proviennent des offres d’enchères en temps réel, au traitement de leurs données par cette dernière ;
- procéder à la purge des données obtenues sans consentement informé, spécifique et activement manifesté ;
- justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.