Publicité mobile : la CNIL met en demeure Singlespot de respecter le RGPD
Consentement facultatif
Le 23 octobre 2018 à 15h17
7 min
Internet
Internet
Singlespot fournit des outils pour compter les mobinautes en magasin et leur envoyer des publicités ciblées. La CNIL a relevé plusieurs manquements dans sa gestion des données, en particulier un consentement souvent absent et une manipulation des données maladroite. Il s'agit de la première mise en demeure publique s'appuyant sur le RGPD.
La CNIL donne trois mois à la société Singlespot, spécialiste des campagnes publicitaires ciblées sur mobile, pour respecter le droit sur les données personnelles. La société ne recueille pas le consentement des internautes, qui ne peuvent ni accepter, ni refuser le traitement de leurs données de géolocalisation. Les services de la société sont utilisés dans une vingtaine d'applications, dont de presse.
Ce consentement est la base officielle des traitements de Singlespot, via son SDK. Pourtant, elle n'impose pas aux applications de s'en assurer, conserve des données obtenues sans en avoir une utilité et multiplie les mauvaises pratiques sur la protection de sa base.
Une géolocalisation fréquente mais silencieuse
Selon la CNIL, Singlespot compte 27 salariés, enregistre un chiffre d'affaires de 4,2 millions d'euros en 2017 et un résultat net de 418 000 euros. Sa collecte passe par une boite à outils (SDK) pour applications Android et iOS. Le service récupère la géolocalisation toutes les cinq minutes sur Android et tous les 200 mètres sur iOS, en plus de l'identifiant publicitaire de chaque appareil et de données techniques.
Le service permet ainsi des campagnes publicitaires ciblées sur mobile, en fonction des lieux visités outre le décompte de visiteurs en magasins. Par exemple ceux ayant visité un magasin particulier ou ceux de concurrents dans les 15 derniers jours. Plus de 5,5 millions d'identifiants publicitaires ont été collectés, selon la CNIL.
La CNIL a visité la société le 29 mai. L'autorité a constaté donc que les données sont envoyées à Singlespot sans que l'utilisateur n'en soit informé.
« La société collecte des données de géolocalisation sans recueillir le consentement des personnes. Un tel traitement constitue un risque particulier au regard de la vie privée en ce qu’il est révélateur des déplacements des personnes et de leurs habitudes de vie » écrit l'institution dans sa délibération.
Les données sont conservées pendant 13 mois par Singlespot dans une base de données unique, qui sert à vendre des services à tous ses clients. Même une fois l'utilisateur sorti des points d'intérêt (comprendre les boutiques), ses données sont donc gardées. Une « conservation excessive » pour l'autorité.
Cette base est protégée par un simple mot de passe à 16 caractères (sans caractères spéciaux) et est utilisée pour des tests de développeurs, affirme Singlespot à la commission. Des pratiques contraires à l'article 32 - 1 b) du RGPD.
Aussi, une table de la base de données associe chaque profil à des mots-clés, comme « beauty, fashion, deco ». Des données inutiles, issues d'un projet abandonné en janvier dernier, pourtant toujours bien là. Nouveau manquement, face à l'article 5 - 1 e) du RGPD cette fois.
Très peu de contraintes pour les applications
Lors du contrôle sur place du 29 mai, soit quatre jours après l'entrée en application du RGPD, l'entreprise assurait retravailler son contrat avec les éditeurs d'applications, pour préciser leur responsabilité sur le recueil du consentement... Une version qui ne convient pas à la CNIL, pour laquelle le texte proposé ne détaille pas les modalités concrètes de ce recueil.
En outre, elle impose seulement une mention de son nom dans la politique de confidentialité des applications en question. Insuffisant, juge la commission.
Certains éditeurs se contentent donc du recueil en bloc du consentement à l'installation de l'application, sans préciser la récupération de Singlespot. Une violation cette fois de l'article 6 du Règlement général sur la protection des données (RGPD), selon la CNIL.
La CNIL prône la transparence sans l'appliquer
La CNIL ne publie pas toujours ses mises en demeure et sanctions. Leur publicité reste toute de même l'une de ses principales armes pour remettre les brebis dans le droit chemin. Dans sa délibération, elle la justifie d'ailleurs par « la nécessité de mettre les personnes concernées en mesure de garder le contrôle de leurs données ».
Pourtant, la commission se garde bien de détailler quelles applications contiennent l'indélicat. Tout juste indique-t-elle que 15 sociétés, derrière 25 applications sont concernés, principalement des éditeurs de presse. Contactée, Singlespot refuse de nous révéler la liste de ses clients.
Heureusement, des bénévoles appliquent vraiment la transparence, au lieu de seulement la prôner. L'association Exodus Privacy a déniché des traces du mouchard dans une vingtaine d'applications, dont celles d'Allociné, d'Auto Journal, de Closer, de Marmiton, du Point, de Science et Vie et de Vie De Merde.
Le RGPD en piste
Concrètement, la commission demande à l'entreprise de s'assurer que les applications recueillent bien le consentement explicite pour son service, de ne conserver les données que le temps nécessaire, de supprimer les données de géolocalisation des internautes une fois ceux-ci sortis des points d'intérêt, de mieux protéger la base de données et de séparer les environnements de développement et de production.
Si l'entreprise se conforme aux demandes de la commission, celle-ci ne prononcera pas de sanction. Dans le cas contraire, elle sera prononcée en tenant compte du RGPD, qui a rehaussé la sanction maximale en mai dernier, à 4 % du chiffre d'affaires annuel ou 20 millions d'euros.
Dans un communiqué, la société assure coopérer avec la CNIL. « Nos experts techniques sont mobilisés depuis nos premiers échanges avec la CNIL pour mettre à jour notre logiciel et apporter les gages de notre conformité en matière de recueil du consentement explicite des mobinautes et de durée proportionnée de conservation des points de géolocalisation » promet-elle.
Le 5 octobre, elle a envoyée à la commission un modèle de fenêtre pour obtenir l'accord de l'utilisateur. Malheureusement, note l'autorité dans sa décision, rien dans le contrat avec Singlespot n'oblige les applications à l'intégrer.
Cette mise en demeure intervient après la clôture de celle contre Teemo, un autre mouchard qui pistait les utilisateurs de dizaines d'applications sans qu'ils le sachent. L'affaire a d'ailleurs été la raison de la création d'Exodus Privacy. Par ailleurs, la CNIL a publié quelques règles pour les mesures de fréquentation de lieux sur mobile, à destination des entreprises de plus en plus nombreuses à s'y adonner.
Première mise en demeure publique post-RGPD
Questionné, Mathias Moulin, à la tête de la direction de la protection des droits et des sanctions, nous indique que cette décision est la première mise en demeure publique s’appuyant sur le RGPD. « Une autre a déjà été rendue, mais elle n’a pas été publiée. »
Dans l’agenda, la décision de contrôler cette société est antérieure au 25 mai, mais le premier contrôle sur place a eu lieu quatre jours plus tard, le 29 mai. C'est cette date de constat qui a justifié la mise en oeuvre du nouveau règlement européen, non la date de la décision administrative initiale.
Pour expliquer le choix d’une mise en demeure à l’encontre de cette société, alors que la CNIL aurait pu directement passer par la case sanction, plusieurs critères ont été pris en compte par la direction. « Dans notre arsenal, on fait le choix d’utiliser cette voie quand on considère qu’il s’agit du bon vecteur pour s’adresser à une petite structure technologique récente. Cela répond aussi à notre souhait d’offrir un accompagnement et une clarification à tous les acteurs ».
Le directeur de la CNIL nous prévient néanmoins que les premières sanctions devraient être rendues en fin d’année ou au début 2019.
Propos de Mathias Moulin recueillis par Marc Rees.
Publicité mobile : la CNIL met en demeure Singlespot de respecter le RGPD
-
Une géolocalisation fréquente mais silencieuse
-
Très peu de contraintes pour les applications
-
La CNIL prône la transparence sans l'appliquer
-
Le RGPD en piste
-
Première mise en demeure publique post-RGPD
Commentaires (10)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 24/10/2018 à 11h28
Le 24/10/2018 à 13h48
Pour se connecter a l’interface de gestion, j’utilise pas de DB chez eux donc je ne peux pas dire
Le 23/10/2018 à 15h52
Quel courage, quelle détermination ! Merci la CNIL de défendre si vigoureusement les droits des citoyens. Prenez garde de ne pas être trop sévères avec cette PME, dont on ne peut décemment pas attendre qu’elle connaisse le droit à la vie privée, vu son secteur d’activité…
Le 23/10/2018 à 16h33
Le 23/10/2018 à 16h47
Je n’ai pas bien saisi comment se faisait cette collecte d’infos non consentie. Il suffit d’avoir un de ces applications installées pour tomber dans leur filet, et de passer dans un de leurs “points d’intérêt”, donc n’importe quel magasin ?
Le 23/10/2018 à 16h53
Une stratégie pourrait être de frapper au portefeuille cette société qui ignore ostensiblement ses obligations (alors que le traitement de données personnelles est son coeur de métier), sans forcément la mettre dans le rouge, pour faire réfléchir la myriade d’autres qui sont en mode wait & see.
Si la CNIL rend publique sa décision, c’est pour communiquer dessus. Quitte à faire de la pédagogie, autant choisir une association caritative dépassée par les évènements pour l’exemple, plutôt qu’une boîte de pub qui tire allègrement sur la corde. Là, le message c’est “Si vous traînez volontairement les pieds parce que le respect du RGPD rogne vos marges, on vous fera les gros yeux”. Je trouve ça moyen.
Le 23/10/2018 à 16h55
Le 23/10/2018 à 16h56
Le 24/10/2018 à 06h55
Sous iOS dans Réglages on peut désactiver la demande de position, son actualisation en arrière plan et les données cellulaires pour :
Allociné et FidMe ( je n’ai pas les autres mentionnées par Exodus Privacy).
Le 24/10/2018 à 09h43