Le 25 juin dernier, la Commission Nationale de l’Informatique et des Libertés (Cnil) a simultanément mis en demeure deux start-ups françaises, FIDZUP et TEEMO, pour avoir traité des données de géolocalisation d’utilisateurs de smartphones, sans leur consentement et à des fins publicitaires.

Pourquoi ces mises en demeure ? Mathias Avocat revient sur ces affaires.

Comment les données de géolocalisation sont-elles collectées ?

TEEMO et FIDZUP sont deux sociétés françaises, dont l’activité est quasi similaire. Elles ont développé des applications mobiles, à travers lesquelles il est possible de collecter les données de géolocalisation d’utilisateurs. Cette collecte est possible grâce à un traceur « SDK » publicitaire (Software Development Kit), intégré dans le code des applications mobiles des sociétés partenaires.

Dans le cas de la société TEEMO, la géolocalisation est fournie directement par le smartphone au travers des applications partenaires. Puis, les données de localisation vont permettre de déterminer le profil de l’utilisateur et ses centres d’intérêts. D’une façon un peu différente, la société FIDZUP possède des boîtiers (Fidbox) placés dans les points de ventes des annonceurs partenaires, qui vont mesurer l’intensité du signal WI-FI capté par l’utilisateur. Cela permet alors de déterminer la position de ce dernier et ses centres d’intérêts, puis de les comparer avec les données collectées via le SDK installé dans les applications partenaires.

Dans les deux cas, un profil publicitaire sera constitué à partir des données de géolocalisation et des points d’intérêts. Puis, des publicités spécifiquement choisies en fonction des habitudes de déplacement seront envoyées à l’utilisateur en temps réel.

A titre d’exemple, un utilisateur X télécharge une application mobile TT. Or, ce dernier, sans que X ne le sache, est partenaire de TEEMO ou FIDZUP. Ainsi, en utilisant cette application TT et en acceptant la géolocalisation, chaque localisation sera envoyée à TEEMO ou FIDZUP, via le logiciel SDK. Par exemple, X a été plusieurs fois dans un supermarché. Les deux sociétés vont ainsi collecter cette donnée pour en déduire des audiences de visites, mais aussi pour ensuite les revendre à d’autres publicitaires. Cela pourrait être par exemple un supermarché concurrent, qui va alors envoyer des messages ciblés à X avec de la promotion ou des conseils, etc.

Néanmoins, toutes ces pratiques ne peuvent avoir lieu que si, et seulement si, elles respectent le cadre juridique en vigueur. A ce sujet, la Cnil a récemment fait une infographie expliquant le cadre applicable à la géolocalisation et les précautions à prendre. Une délégation de la Cnil a ainsi procédé, les 7 juin et 2 octobre 2017, à des contrôles sur place auprès de la société TEEMO. De même, elle a procédé à un contrôle sur place le 14 septembre 2017 et à un contrôle en ligne le 24 avril 2018 auprès de la société FIDZUP.

Quel manquement à l’obligation de consentement ?

Selon les sociétés TEEMO et FIDZUP, les utilisateurs ont donné leur consentement à ce traitement de données de géolocalisation. Or, le consentement doit être informé, libre et spécifique au traitement. La Cnil a dû ainsi déterminer si ces trois critères avaient été respectés.

  • Le consentement doit être informé
    L’autorité de contrôle considère que les deux sociétés n’ont pas permis aux utilisateurs de consentir à cette collecte de données de géolocalisation. En effet, ces derniers ne sont pas informés de cette collecte, et ignorent donc le fait que cela servira à des fins de profilage et de ciblage publicitaire.
  • Le consentement doit être libre
    Dans son avis n°15/2011 du 13 juillet 2011, le G29 considère que « Le consentement ne peut être valable que si la personne concernée est véritablement en mesure d’exercer un choix et s’il n’y a pas de risque de tromperie […] Si les conséquences du consentement sapent la liberté de choix des personnes, le consentement n’est pas libre. ». En l’espèce, les applications partenaires ne peuvent être téléchargées sans le SDK ; donc « indissociables » selon la délégation de la Cnil. En effet, le téléchargement de l’application entraîne automatiquement la transmission de données aux sociétés et l’obligation d’obtenir un consentement libre de l’utilisateur n’est pas respectée.
  • Le consentement doit être spécifique au traitement
    La finalité exacte, claire et précise du traitement de données doit être communiquée par le responsable de traitement afin que le consentement accordé par la personne dont les données sont collectées soit valable. Or, en l’espèce, le consentement donné par les utilisateurs n’est pas concédé spécifiquement pour le traitement de leurs données de géolocalisation à des fins de profilage et de ciblage publicitaire.

La collecte des données de géolocalisation n’est donc pas conforme à l’article 7 de la loi du 6 janvier 1978 modifiée.

Quelle durée de conservation ?

L’article 6-5 de la loi de 1978 dispose que le traitement de données ne doit pas excéder « la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». La société TEEMO est ainsi mise en demeure pour n’avoir pas défini une durée de conservation proportionnée à la finalité du traitement. En effet, la collecte de données de géolocalisation des utilisateurs est réalisée « environ toutes les cinq minutes ». Elles sont alors conservées par la société durant treize mois. La Cnil considère donc que la durée de conservation est excessive, quant à la finalité du traitement.

En outre, l’autorité de contrôle estime qu’il y a un réel risque d’atteinte à la vie privée des personnes concernées, du fait de cette conservation excessive. Elle ajoute que l’utilisation de « dispositifs de géolocalisations est particulièrement intrusive au regard des libertés individuelles, dans la mesure où ils permettent de suivre de manière permanente et en temps réel des personnes ».

Quelles clauses contractuelles entre le responsable et le sous-traitant ?

En cas de contrôle, les agents de la Cnil demandent souvent à pouvoir consulter les contrats conclus entre le responsable de traitement et son sous-traitant. Pour ce qui concerne la société TEEMO, la base de données dans laquelle sont stockées les données collectées est hébergée via les services de Google Cloud. Or, la Cnil a constaté que la société TEEMO n’a pas inséré dans le contrat de sous-traitance de clauses relatives aux obligations en matière de sécurité et de confidentialité des données personnelles.

Il s’agit donc d’un manquement à l’article 35 de la loi Informatique et Libertés qui prévoit que « Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité (…). Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. ».

Pourquoi une mise en demeure publique et quelles suites ?

La Cnil a décidé de rendre publiques ces mises en demeure, compte tenu du nombre élevé de personnes concernées, de la nature des manquements et de la nécessité de « sensibiliser les professionnels du secteur sur les enjeux liés au recours à ce type de technologie ». Elle ajoute qu’elle portera une attention toute particulière, dans les prochains mois, aux différents intervenants de la chaine d’acteurs dans laquelle intervient l’utilisation du SDK.

Dans ce contexte, si au terme des trois mois à compter de la notification de la mise en demeure, les sociétés Fidzup et Teemo ne se conforment pas à la législation en vigueur, une sanction pourra être prononcée par la formation restreinte de la Cnil.

Afin d’éviter une telle sanction, Mathias Avocats vous accompagne sur tous les aspects juridiques de votre mise en conformité.