Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes
Publicité mobile : la CNIL met en demeure Singlespot de respecter le RGPD
Securité Crédits : peterhowell/iStock

Publicité mobile : la CNIL met en demeure Singlespot de respecter le RGPD

Consentement facultatif
6 min

Singlespot fournit des outils pour compter les mobinautes en magasin et leur envoyer des publicités ciblées. La CNIL a relevé plusieurs manquements dans sa gestion des données, en particulier un consentement souvent absent et une manipulation des données maladroite. Il s'agit de la première mise en demeure publique s'appuyant sur le RGPD. 

La CNIL donne trois mois à la société Singlespot, spécialiste des campagnes publicitaires ciblées sur mobile, pour respecter le droit sur les données personnelles. La société ne recueille pas le consentement des internautes, qui ne peuvent ni accepter, ni refuser le traitement de leurs données de géolocalisation. Les services de la société sont utilisés dans une vingtaine d'applications, dont de presse.

Ce consentement est la base officielle des traitements de Singlespot, via son SDK. Pourtant, elle n'impose pas aux applications de s'en assurer, conserve des données obtenues sans en avoir une utilité et multiplie les mauvaises pratiques sur la protection de sa base.

Une géolocalisation fréquente mais silencieuse

Selon la CNIL, Singlespot compte 27 salariés, enregistre un chiffre d'affaires de 4,2 millions d'euros en 2017 et un résultat net de 418 000 euros. Sa collecte passe par une boite à outils (SDK) pour applications Android et iOS. Le service récupère la géolocalisation toutes les cinq minutes sur Android et tous les 200 mètres sur iOS, en plus de l'identifiant publicitaire de chaque appareil et de données techniques.

Le service permet ainsi des campagnes publicitaires ciblées sur mobile, en fonction des lieux visités outre le décompte de visiteurs en magasins. Par exemple ceux ayant visité un magasin particulier ou ceux de concurrents dans les 15 derniers jours. Plus de 5,5 millions d'identifiants publicitaires ont été collectés, selon la CNIL.

La CNIL a visité la société le 29 mai.  L'autorité a constaté donc que les données sont envoyées à Singlespot sans que l'utilisateur n'en soit informé.

« La société collecte des données de géolocalisation sans recueillir le consentement des personnes. Un tel traitement constitue un risque particulier au regard de la vie privée en ce qu’il est révélateur des déplacements des personnes et de leurs habitudes de vie » écrit l'institution dans sa délibération.

Les données sont conservées pendant 13 mois par Singlespot dans une base de données unique, qui sert à vendre des services à tous ses clients.  Même une fois l'utilisateur sorti des points d'intérêt (comprendre les boutiques), ses données sont donc gardées. Une « conservation excessive » pour l'autorité.

Cette base est protégée par un simple mot de passe à 16 caractères (sans caractères spéciaux) et est utilisée pour des tests de développeurs, affirme Singlespot à la commission. Des pratiques contraires à l'article 32-1 b) du RGPD.

Aussi, une table de la base de données associe chaque profil à des mots-clés, comme « beauty, fashion, deco ». Des données inutiles, issues d'un projet abandonné en janvier dernier, pourtant toujours bien là. Nouveau manquement, face à l'article 5-1 e) du RGPD cette fois.

Très peu de contraintes pour les applications

Lors du contrôle sur place du 29 mai, soit quatre jours après l'entrée en application du RGPD, l'entreprise assurait retravailler son contrat avec les éditeurs d'applications, pour préciser leur responsabilité sur le recueil du consentement... Une version qui ne convient pas à la CNIL, pour laquelle le texte proposé ne détaille pas les modalités concrètes de ce recueil.

En outre, elle impose seulement une mention de son nom dans la politique de confidentialité des applications en question. Insuffisant, juge la commission.

Certains éditeurs se contentent donc du recueil en bloc du consentement à l'installation de l'application, sans préciser la récupération de Singlespot. Une violation cette fois de l'article 6 du Règlement général sur la protection des données (RGPD), selon la CNIL.

La CNIL prône la transparence sans l'appliquer

La CNIL ne publie pas toujours ses mises en demeure et sanctions. Leur publicité reste toute de même l'une de ses principales armes pour remettre les brebis dans le droit chemin. Dans sa délibération, elle la justifie d'ailleurs par « la nécessité de mettre les personnes concernées en mesure de garder le contrôle de leurs données ».

Pourtant, la commission se garde bien de détailler quelles applications contiennent l'indélicat. Tout juste indique-t-elle que 15 sociétés, derrière 25 applications sont concernés, principalement des éditeurs de presse. Contactée, Singlespot refuse de nous révéler la liste de ses clients.

Heureusement, des bénévoles appliquent vraiment la transparence, au lieu de seulement la prôner. L'association Exodus Privacy a déniché des traces du mouchard dans une vingtaine d'applications, dont celles d'Allociné, d'Auto Journal, de Closer, de Marmiton, du Point, de Science et Vie et de Vie De Merde.

Le RGPD en piste

Concrètement, la commission demande à l'entreprise de s'assurer que les applications recueillent bien le consentement explicite pour son service, de ne conserver les données que le temps nécessaire, de  supprimer les données de géolocalisation des internautes une fois ceux-ci sortis des points d'intérêt, de mieux protéger la base de données et de séparer les environnements de développement et de production.

Si l'entreprise se conforme aux demandes de la commission, celle-ci ne prononcera pas de sanction. Dans le cas contraire, elle sera prononcée en tenant compte du RGPD, qui a rehaussé la sanction maximale en mai dernier, à 4 % du chiffre d'affaires annuel ou 20 millions d'euros.

Dans un communiqué, la société assure coopérer avec la CNIL. « Nos experts techniques sont mobilisés depuis nos premiers échanges avec la CNIL pour mettre à jour notre logiciel et apporter les gages de notre conformité en matière de recueil du consentement explicite des mobinautes et de durée proportionnée de conservation des points de géolocalisation » promet-elle.

Le 5 octobre, elle a envoyée à la commission un modèle de fenêtre pour obtenir l'accord de l'utilisateur. Malheureusement, note l'autorité dans sa décision, rien dans le contrat avec Singlespot n'oblige les applications à l'intégrer.

Cette mise en demeure intervient après la clôture de celle contre Teemo, un autre mouchard qui pistait les utilisateurs de dizaines d'applications sans qu'ils le sachent. L'affaire a d'ailleurs été la raison de la création d'Exodus Privacy. Par ailleurs, la CNIL a publié quelques règles pour les mesures de fréquentation de lieux sur mobile, à destination des entreprises de plus en plus nombreuses à s'y adonner.

Première mise en demeure publique post-RGPD

Questionné, Mathias Moulin, à la tête de la direction de la protection des droits et des sanctions, nous indique que cette décision est la première mise en demeure publique s’appuyant sur le RGPD. « Une autre a déjà été rendue, mais elle n’a pas été publiée. »

Dans l’agenda, la décision de contrôler cette société est antérieure au 25 mai, mais le premier contrôle sur place a eu lieu quatre jours plus tard, le 29 mai. C'est cette date de constat qui a justifié la mise en oeuvre du nouveau règlement européen, non la date de la décision administrative initiale. 

Pour expliquer le choix d’une mise en demeure à l’encontre de cette société, alors que la CNIL aurait pu directement passer par la case sanction, plusieurs critères ont été pris en compte par la direction. « Dans notre arsenal, on fait le choix d’utiliser cette voie quand on considère qu’il s’agit du bon vecteur pour s’adresser à une petite structure technologique récente. Cela répond aussi à notre souhait d’offrir un accompagnement et une clarification à tous les acteurs ».

Le directeur de la CNIL nous prévient néanmoins que les premières sanctions devraient être rendues en fin d’année ou au début 2019.

Propos de Mathias Moulin recueillis par Marc Rees.

Publiée le 23 octobre 2018 à 17:17


Chargement des commentaires