Le 25 juin 2018 les sociétés Teemo et Fidzup ont été mises en demeure de mettre leurs traitements de données à caractère personnel en conformité avec la réglementation. Une troisième mise en demeure a été rendue à l’encontre de la société Singlespot le 8 octobre 2018. Celle-ci est l’occasion de voir les évolutions tant des mises en demeure de la CNIL que des pratiques des acteurs du monde de la publicité ciblée.
A) Rappel du contexte
Les raisonnements tenus dans les deux premières mises en demeure sont sensiblement les mêmes.
Tout d‘abord, la CNIL constate que ces sociétés ont toutes deux développé un « Système Development Kit » (SDK) qui, une fois intégré dans une application mobile (par exemple l’application d’un journal), permet la collecte de données à caractère personnel, dont des données de géolocalisation. Ce système permet aux éditeurs de SDK d’offrir «des services d’analyse ou de ciblage auprès [des clients] annonceurs » ou « pour en déduire des audiences qualifiées ». Autrement dit, chacune des deux sociétés collecte et traite des données afin de proposer des espaces publicitaires à des annonceurs. La CNIL considère donc qu’elles ont toutes deux la qualité de responsable du traitement.
Une fois cette qualification établie, la CNIL recherche si les traitements sont réalisés conformément à la Loi Informatique et Libertés (LIL) dans sa version en vigueur au moment des faits. Elle constate que les informations fournies aux utilisateurs des applications, ainsi que les formulaires de recueil du consentement, ne respectent pas les conditions posées par la LIL et précisées par les lignes directrices du G29 (wp259). Elle en déduit que le traitement des données de géolocalisation est réalisé sans base juridique. En l’absence de base juridique, le traitement de ces données est illicite.
Quelques mois après ces décisions, c’est au tour de la société Singlespot d’être mise en demeure par la CNIL. Le raisonnement tenu y est similaire puisque la situation et le modèle économique est très proche de celui de Teemo et Fidzup. Cependant, on remarque que la CNIL développe davantage son argumentaire sur la technologie et le modèle économique de la société.
B) Développements des difficultés d’application du RGPD à la géolocalisation
Singlespot a développé un SDK qui est intégré dans 25 applications mobiles, elles-mêmes développées par quinze sociétés partenaires, majoritairement des éditeurs de presse. Ce SDK permet de corréler les données personnelles des utilisateurs de ces applications avec des points d’intérêts (POIs pour « Points Of Interest »). Ces informations étaient déjà présentes et mentionnées dans les deux mises en demeure précédentes. La CNIL complète donc son raisonnement en indiquant que Singlespot « réalise des campagnes marketing à travers l’achat d’espaces publicitaires pour le compte de clients annonceurs, sur la plateforme de la société […] de ventes aux enchères d’espaces publicitaires en temps réel ». Où l’on voit poindre les questions liées au modèle de la publicité ciblée.
Comme pour les sociétés Teemo et Fidzup, la CNIL qualifie Singlespot de responsable du traitement puisque la société détermine « dans une large mesure » les finalités et les moyens du traitement des données afin de proposer des services d’analyse ou de profilage « pour ses clients annonceurs». Une fois encore, la CNIL qualifie de donnée à caractère personnel l’identifiant publicitaire des smartphones ou autre terminal numérique (IDFA, pour « Identifier for Advertisers »). Ce numéro est unique et permet d’identifier un terminal utilisateur de manière stable dans le temps. Il permet donc d’identifier de manière indirecte une personne. Comme il s‘agit d’un identifiant unique, sauf manipulation de l’utilisateur pour le réinitialiser, les annonceurs peuvent suivre l’utilisateur lorsque ce dernier change d’application et ainsi toujours lui « afficher des publicités spécifiquement choisies en fonction de ses habitudes de déplacement ».
Outre ces précisions, le principal intérêt de cette mise en demeure est son fondement juridique. Pour la première fois, la CNIL vise le RGPD et non la directive de 1995. Elle apprécie la validité et la licéité du consentement par référence aux articles 4.11, 6 et 7 du RGPD. En effet, la société Singlespot justifie son traitement par l’obtention du consentement des personnes concernées. Pour sa part, la CNIL constate que le responsable du traitement ne dispose d’aucune base juridique valable pour traiter les données personnelles puisque le consentement recueilli ne respecte pas les conditions légales et réglementaires. Le raisonnement tenu et développé par la CNIL sur ce point n’est pas nouveau : défaut d’information préalable au recueil du consentement, information partielle de la personne concernée et absence de liberté de choix dans le consentement. Sur ce dernier point, on peut rappeler que le choix s’entend de la possibilité d’accepter et de refuser un traitement de manière simple et conviviale. En ne proposant aux utilisateurs qu’un choix entre « accepter » et remettre ce choix à « plus tard », Singlespot ne permet ni un choix libre, ni un choix éclairé. Choisir « plus tard » est-il un moyen de refuser le traitement ou de se voir proposer à nouveau cette fenêtre pop-up ultérieurement ? Pour toutes ces raisons, la CNIL constate l’absence d’un recueil de consentement valable par le biais du SDK de Singlespot et la réalisation d’un traitement illicite.
Néanmoins, il faut relever que Singlespot présente des arguments et des documents jusqu’à présent non évoqués dans ce genre d’affaire. Ce faisant, on en sait davantage sur les pratiques conformes au RGPD et sur celles, non conformes, qui doivent être délaissées.
Le premier argument nouveau tient à l’appel aux dispositions contractuelles qui lient Singlespot à ses partenaires. Le contrat de partenariat présenté par Singlespot à la CNIL met à la charge de l’éditeur de l’application qui reçoit le SDK, l’obligation de fournir une information conforme à la réglementation afin de pouvoir collecter un consentement libre spécifique et univoque.
Toutefois, qualifiée de responsable du traitement, il appartient à la société Singlespot de s’assurer qu’un consentement valable des personnes concernées est recueilli lors de la collecte des données par le biais de son SDK. Dans les faits, cela est impossible. En effet, le document contractuel qui lie Singlespot à ses partenaires ne définit pas les mentions à communiquer aux personnes concernées. Il se contente de renvoyer à un accord contractuel ultérieur qui en précisera les contours précis. Le responsable est donc dans l’impossibilité de s’assurer effectivement que le consentement soit valablement recueilli, ce qui n’est d’ailleurs pas le cas.
Le second argument avancé par la société afin de justifier de sa collecte est qu’elle est actuellement dans un processus de mise en conformité. Pour preuve, la transmission à la CNIL d’une nouvelle fenêtre pop-up qui contient les informations qui doivent être communiquées aux personnes concernées. Si on peut lire, ici ou là, que les autorités de contrôle seront clémentes avec les responsables du traitement et sous-traitants qui auront initié un processus de mise en conformité au RGPD, il ne faut pas pour autant oublier que le RGPD est effectivement et pleinement applicable depuis le 25 mai 2018. Ce n’est plus un processus de mise en conformité qui doit être mis en place mais un processus de maintien de la conformité. Le procès-verbal ayant été dressé 4 jours après l’entrée en application, la CNIL retient uniquement que cette nouvelle fenêtre pop-up (i) offre une meilleure information mais que celle-ci reste insuffisante au regard du RGPD et (ii) que Singlespot semble dans l’incapacité de « s’assurer de [l’intégration] effective » de cette nouvelle version de la fenêtre contextuelle au sein des applications partenaires. La mise en conformité théorique n’est pas suffisante.
Les développements sur la durée de conservation des données personnelles sont, eux aussi, assez classiques. La justification de la durée de conservation de 13 mois par la nécessité de réaliser des comparatifs des données ne convainc pas la CNIL. Cette durée est donc réputée excessive et porter atteinte à la vie privée des personnes concernées. La CNIL rappelle que la durée de conservation doit être proportionnée à la finalité (la publicité ciblée). On rappellera également que la durée de treize mois utilisée par Singlespot fait étrangement écho :
- à la durée maximale de conservation des cookies de sites Internet qui n’ont pas pour finalité de géolocaliser les utilisateurs et sont donc moins intrusifs que des SDK ;
- à la durée invoquée par la société Teemo et qui avait déjà été jugée disproportionnée à la finalité et portait atteinte à la vie privée des personnes concernées.
Il ne s’agit donc plus uniquement de choisir la durée maximale indiquée par la CNIL pour tel ou tel traitement. Désormais, l’essentiel est, pour le responsable du traitement, de justifier le choix de la durée de conservation, et d’en démontrer la proportionnalité au regard des finalités du traitement.
C) Résolution des difficultés liées à la géolocalisation
Le 29 novembre 2018, deux mises en demeure liées aux SDK ont été clôturées : celle de Fidzup et celle de Singlespot. Ces clôtures viennent s’ajouter à celle de la société Teemo rendue le 3 octobre 2018.
Assez courtes, ces décisions de clôture renseignent sur les pratiques adoptées en la matière et sur le positionnement de la CNIL. On y apprend notamment que les deux sociétés ont modifié leurs bannières d’information des personnes concernées afin :
- d’une part, de fournir l’ensemble des informations tel que le préconisent les articles 12 et 13 du RGPD : les finalités du traitement, l’identité des différents responsables du traitement (partenaires géomarketing) et les données collectée ;
- d’autre part, de permettre aux personnes concernées de refuser le traitement de leurs données personnelles réalisé à des fins de géomarketing.
Deux informations sont à retenir à propos du consentement :
- pour qu’il soit libre, la personne concernée doit pouvoir refuser un traitement de manière tout aussi simple et conviviale que l’acceptation du traitement. Aussi, la présence et l’affichage d’un bouton « refuser», à côté d’un bouton « accepter » le traitement, est indispensable. La simple faculté de remettre à plus tard le choix de l’acceptation ou du refus du traitement ne saurait non plus convenir ;
- la possibilité pour la personne concernée de choisir les responsables du traitement auxquels ses données de géolocalisations sont envoyées n’est pas obligatoire mais « préconisée» par la CNIL. Sur ce point, on peut d’ailleurs se demander si le principe de granularité du consentement n’impose pas que la personne concernée puisse choisir les responsables du traitement auxquels ses données sont transférées, ce qui irait au-delà de la simple « préconisation » de la CNIL.
Enfin, la CNIL indique que l’information délivrée à la personne concernée doit faire l’objet d’une priorisation. Autrement dit, certaines informations doivent être délivrées plus rapidement, plus directement que d’autres. Cela peut notamment se faire sous la forme d’un bandeau d’information qui indique notamment l’identité du responsable du traitement, les finalités et les droits des personnes concernées, ainsi qu’un lien hypertexte qui mentionne l’intégralité des informations prévues par les articles 12 et 13 du RGPD.
Si ces positions de la CNIL et préconisations sont importantes, notamment dans le cadre des applications qui intégrèrent des SDK, il ne s’agit pas pour autant de point nouveaux, mais surtout de rappels. Il en va de même lorsque la CNIL relève que les données collectées par le biais des SDK sont purgées de manière automatique, protégées par des techniques d’anonymisation ainsi que par des « mots de passe contraignants ». On peut regretter qu’aucune information plus précise ne soit donnée sur les durées de conservation, sur leurs justifications, et sur les techniques de sécurité mises en place. L’opinion de la CNIL sur ces sujets pourrait renseigner sur l’état des connaissances en vigueur en matière de sécurité informatique (art. 25.1 RPGD) ou encore sur les durées de conservation considérées comme non excessives. En outre, comme l’a montré la mise en demeure prononcée à l’encontre de la société Vectaury le 30 octobre 2018, le sujet de la collecte de données de géolocalisation est loin d’être épuisé.
