Juridique

Le ciblage et la géolocalisation publicitaire épinglés par la CNIL

Le ciblage et la géolocalisation publicitaire épinglés par la CNIL
La Cnil met en demeure 2 start-ups pour l'oubli du consentement sur le ciblage et la géolocalisation publicitaire

La Cnil hausse le ton contre deux start-ups qui ne respectent pas le consentement concernant le ciblage et la géolocalisation publicitaire.

PublicitéLa Commission nationale de l'informatique et des libertés (Cnil) fait la chasse aux entreprises qui ne respectent pas sa loi et ne se plient pas au règlement général sur la protection des données personnelles (RGPD). Deux nouvelles proies en ont fait les frais, à savoir Fidzup et Teemo, des start-ups qui ont fait du marketing publicitaire mobile et géolocalisé leur spécialité. « Les sociétés Teemo et Fidzup indiquent traiter ces données avec le consentement des personnes concernées. Toutefois, les vérifications de la CNIL ont conduit à relever que le consentement n'est pas recueilli comme la loi l'exige », indique la commission dans un communiqué. Les deux sociétés ont été mises en demeure avec obligation de se mettre en conformité d'ici trois mois sous peine de sanction. « Au regard des manquements constatés, la présidente de la Cnil a décidé de mettre en demeure les sociétés Fidzup et Teemo de se conformer à la loi « Informatique et Libertés » et au RGPD dans un délai de trois mois ».

« Concernant la société Teemo, les personnes ne sont pas informées, lors du téléchargement des applications mobiles partenaires, qu'un SDK permettant de collecter leurs données, et notamment leurs données de localisation, y est intégré », explique la CNIL. A noter que Teemo conserve par ailleurs les données de localisation des pendant 13 mois ce qui s'avère être contraire à « l'obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement ».

Application et SDK indissociables : ça ne passe pas pour la CNIL

S'agissant de la société Fidzup, la commission fait ressortir que « des contrôles effectués sur plusieurs applications mobiles qu'au moment de l'installation de l'application, l'utilisateur n'est informé ni de la finalité de ciblage publicitaire du traitement mis en oeuvre, ni de l'identité du responsable de ce traitement. En outre, l'information fournie aux personnes dans les conditions générales d'utilisation des applications ou sur des affiches en magasins intervient après la collecte et le traitement des données, alors que le consentement suppose une information préalable. »

En outre, aussi bien dans le cas de Teemo que de Fidzup, l'utilisateur ne peut pas télécharger l'application mobile sans son kit de développement logiciel. « Les deux sont indissociables : l'utilisation des applications a pour conséquence automatique la transmission de données aux sociétés », écrit la CNIL. « S'il est effectivement demandé aux personnes de consentir au traitement de leurs données de géolocalisation lors de l'installation des applications mobiles, cette action ne concerne que l'utilisation des données par cette application. Elle ne saurait donc valoir consentement à la collecte des données à des fins publicitaires via les SDK ».

PublicitéOlivier Magnan-Saurin, CEO et co-fondateur de Fidzup, a voulu réagir aux mises en demeure de la Cnil en indiquant dans un communiqué : « Fidzup a terminé le nouveau pop-up de récolte du consentement demandé par la CNIL et l'a prescrit à 100% de ses éditeurs partenaires ». Reste que seule la vigilante et les contrôles de la Cnil ont permis de mettre fin à ces mauvaises pratiques et notamment le consentement des utilisateurs qui n'était pas recueilli comme la loi l'exige.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Une politique formelle est-elle définie sur les modalités de stockage selon les types de données (exemples : cloud/pas cloud, local/externalisé, disque/bande…) ?