La CNIL réexplique le consentement libre et explicite dans deux mises en demeure

La CNIL réexplique le consentement libre et explicite dans deux mises en demeure

Après DSK, SDK

Avatar de l'auteur
Marc Rees

Publié dans

Droit

20/07/2018 7 minutes
21

La CNIL réexplique le consentement libre et explicite dans deux mises en demeure

La CNIL a adressé hier des mises en demeure à deux sociétés qui ont effectué des traitements de données de géolocalisations à des fins publicitaires, sans le consentement des personnes concernées. Ce n’est pas encore la première décision mettant en application le RGPD, mais la date des faits s’en approche.

Teemo (ex Databerries) a pour spécialisation les publicités interstitielles sur smartphones selon la géolocalisation de leurs détenteurs. Elle peut également mesurer les visites dans les points de vente de ses partenaires.

La société avait fait l’objet de contrôles sur place par la CNIL en octobre 2017, où la commission découvrait un peu mieux les rouages de son système reposant sur un SDK (kit de développement logiciel) destiné à collecter les données de géolocalisation outre l’identifiant publicitaire généré par le système d’exploitation du smartphone.

Ces bouts de code sont ensuite intégrés dans les applications mobiles des partenaires. La suite est simple : ces informations sont croisées avec les points d’intérêts, presque en temps réel puisque la géolocalisation est mise à jour toutes les vingt minutes.

Lors de son contrôle, la CNIL a repéré qu’en une seule journée, 1,6 million d’identifiants publicitaires avaient été associés aux données de géolocalisation. En tout, près de 14 millions d’identifiants publicitaires distincts avaient été collectés sur les treize derniers mois, représentant autant de smartphones.

Défaut d'information

Seulement, remarque la CNIL, « lorsque l’utilisateur d’un smartphone valide l’autorisation d’accès à ses données de géolocalisation pour le fonctionnement de l’application, ses données sont également transmises à la société Teemo sans qu’il en soit informé et sans que son consentement ne soit recueilli pour cette transmission ». Et ce même lorsque l’utilisateur est situé en dehors du périmètre d’un point d’intérêts.

Les données sont ensuite conservées durant 13 mois, dans une base hébergée par Google Cloud, suite à un contrat passé avec l’entreprise américaine, qui « ne prévoit pas de clauses relatives à la sécurité et à la confidentialité des données ».

La CNIL, qui n’a eu aucun mal à identifier Teemo comme responsable d’un traitement de données personnelles, a réexpliqué que le consentement devait être donné « par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord ».

Un consentement non libre, non explicite

Cette obligation de la loi CNIL passe d’abord par une nécessaire information. Ici, les utilisateurs ne peuvent télécharger l’application sans le SDK. « Ce traceur est donc indissociable des applications partenaires. En conséquence, les utilisateurs des applications mobiles ne sont pas libres de consentir au traitement des données de géolocalisation réalisé par la société Teemo, à partir des données transmises par les applications, l’utilisation de ces dernières impliquant automatiquement la transmission de données à ladite société ».

La société a bien répondu qu’elle obligeait contractuellement ses partenaires à informer explicitement les utilisateurs de l’usage des données de géolocalisation, mais pour la commission,  c’est insuffisant. L’information n’est pas nécessairement systématique outre qu’elle intervient trop tardivement, après l’installation de l’application (et du SDK) et donc après la collecte des données à des fins publicitaires.

Pire : « lorsqu’un nouveau partenariat est conclu avec une société, le SDK est intégré au smartphone du mobinaute à l’occasion d’une mise à jour de l’application si celle-ci est déjà téléchargée. Or, à cette occasion les nouvelles conditions générales d’utilisation ou politiques de vie privée des applications ne sont pas directement portées à la connaissance des mobinautes ».

Enfin, sur la durée du traitement, la CNIL lui a reproché de conserver les informations de géolocalisation pour une durée disproportionnée. « La société ne peut justifier la conservation de l’intégralité des données de géolocalisation des personnes, durant treize mois, au motif que certains de ses partenaires pourraient avoir besoin de connaître les lieux visités par les mobinautes sur cette période » souligne la délibération, avançant un risque d’atteinte à la vie privée.

Le couplage application et SDK

Le modèle d’affaires de Fidzup est similaire : des mesures de fréquentation et d’analyse du comportement des consommateurs dans les magasins. Des publicités ciblées sont adressées à personnes physiques localisées à proximité des points de vente de ses clients annonceurs, équipés d’un dispositif de remontée d’informations WI-FI nommé FIDBOX.

Le SDK prévoit de collecter l’identifiant publicitaire et l’adresse MAC des smartphones sous Android. Ce couplage permet d’adresser des annonces selon la géolocalisation des utilisateurs. Près de 6 millions d’identifiants publicitaires ont été collectés par la société, selon les constatations de la CNIL effectuées sur place en septembre 2017.

Les défauts adressés à la première société se retrouvent ici : information très laconique des personnes quant à la collecte et au ciblage publicitaire lors de l’installation ou l’utilisation des applications. Il y a bien un message qui leur demande d’autoriser l’accès à la position de l’appareil, mais elles ne peuvent deviner le ciblage publicitaire organisé en coulisse.

La société a bien fait en sorte qu’une notice soit affichée dans les magasins équipés de Fidbox, mais cette information est jugée trop tardive : « elle n’est accessible aux personnes qu’après l’installation de l’application et du SDK et donc une fois leurs données déjà traitées par la société Fidzup ». En outre, la notice ne peut être lue que lorsque les personnes concernées se trouvent dans le magasin.

Identiquement, la question du consentement ne trouve pas de réponse satisfaisante. « Les applications des éditeurs partenaires qui utilisent le SDK n’existent pas dans une version sans celui-ci et (…) par conséquent, les personnes ne peuvent télécharger les applications mobiles sans télécharger le SDK. Ce traceur est donc indissociable des applications partenaires ».

Un avant-goût du RGPD

Les utilisateurs ne sont donc pas libres de consentir dans cette stratégie du tout ou rien, de plus ils « sont amenés à valider l’autorisation de la collecte de leurs données, y compris de localisation, uniquement pour l’utilisation de l’application mobile téléchargée ». Le consentement n’est donc ni libre ni spécifique.

Teemo et Fidzup ont désormais trois mois pour effectuer le ménage de rigueur. À défaut, la CNIL dirigera la procédure vers le couloir des sanctions. Pour peser davantage, les deux délibérations ont été rendues publiques par la formation restreinte. Elles sont intéressantes, car elles esquissent finalement la façon dont la CNIL analysera le respect du consentement sous le prisme du RGPD. Le règlement reprend en effet les principes de base ici bafoués.

21

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Défaut d'information

Un consentement non libre, non explicite

Le couplage application et SDK

Un avant-goût du RGPD

Commentaires (21)


Je sens que la CNIL est revigorée par l’évolution du cadre juridique et que les prochains mois vont être riches en cas similaires.


Elle a de quoi faire carnage effectivement.



Entre les GAFAM qui font la sourde oreille et les plus petits qui espèrent passer inaperçus, il y a du boulot.



Mais avec ses nouveaux pouvoirs de sanction, je pense que quand elle aura mis quelques amendes bien senties, ces sociétés commenceront à y réfléchir à deux fois.



On notera qu’il est triste que la CNIL doive montrer les crocs pour que ces sujets soient pris au sérieux.


Par curiosité je suis allé voir sur les sites des deux sociétés mentionnées qui mentionnent leurs (meilleurs) clients, et ce ne sont pas d’obscures sociétés inconnues au bataillon leurs clients, mais bel et bien des boîtes connues et ayant pignon sur rue :/



edit: j’avais oublié le mot client <img data-src=" />


Comment se fait le recueil des données précisément ?





Teemo (ex Databerries) a pour spécialisation les publicités

interstitielles sur smartphones selon la géolocalisation de leurs

détenteurs. Elle peut également mesurer les visites dans les points de

vente de ses partenaires.





On parle de SDK, cela concerne donc uniquement des applications ? Ou bien le seul fait de visiter un site web ? Ou juste la géoloc activée ?


Effectivement.



MOi j’aime bien leurs belles rubriques « RGDP » ou « Vie privée  ».



Ou le blabla d’accueil de Fidzup : 



Votre point de vente devient un générateur de data au centre de votre stratégie de Marketing Digital Local.

Générez la data client grâce à votre point de vente et activez la en publicité digitale locale.








Jarodd a écrit :



Comment se fait le recueil des données précisément ?







On parle de SDK, cela concerne donc uniquement des applications ? Ou bien le seul fait de visiter un site web ? Ou juste la géoloc activée ?





&nbsphttps://www.numerama.com/politique/282934-enquete-comment-les-apps-figaro-lequip…

&nbsp;



En tant que fournisseur d’une ‘brique technique’ SaaS, je suis apparemment supposé trouver un moyen de forcer l’application qui m’utilise à demander un consentement explicite. Une obligation contractuelle ne suffirait pas. Mais est-ce seulement possible? et est-ce que ça aidera vraiment l’éclairage du consentement si 12 SDK demandent chacun explicitement un consentement, par rapport à si c’est l’application parente qui le fait?

Plus encore, comment suis-je supposé obtenir ce consentement avant l’installation de l’application, sachant que je n’en suis pas l’auteur, et que je n’ai donc aucun pouvoir sur la description qui en est faite sur le store?



Idem pour la possibilité d’obtenir une application sans le SDK. Comment se fait-il que ce soit le fournisseur du SDK qui soit critiqué, et non le développeur de l’application qui utilise le SDK? Après tout, c’est pas le fournisseur du SDK qui décide comment celui-ci est utilisé…





Je ne suis pas fan de me faire tracer moi non plus, et ces sociétés ne semblent pas avoir fait beaucoup d’efforts pour respecter la législation, donc je ne vais pas les plaindre. Par contre j’arrive pas à comprendre ce qui est attendu d’elles.

Je trouverais plus logique que ce soit le développeur ‘assembleur’ qui soit responsable de récolter le consciemment des utilisateur pour l’ensemble des traceurs qu’il inclut dans son application.


Pourquoi la CNIL n’attaque pas Le figaro, L’équipe, Casino? Ce sont eux les commanditaires de ces voleurs de vie privée <img data-src=" />


“si 12 SDK demandent chacun explicitement un consentement, par rapport à si c’est l’application parente qui le fait?&nbsp;”&lt;= en fait tu peux te baser sur l’existence du consentement transmis par l’application elle même (tous les membre de l’IAB se sont accordé pour que le consentement soit normalisé sous forme d’une string).Du coup au niveau de ton sdk tu dois prévoir :&nbsp;1. de n’effectuer aucune capture/transmission de donnée sans la présence du consentement2. d’aller vérifier la présence de cette consent-string (ou sinon de proposer un callback pour que l’appli te file le consentement)et au niveau de ton contrat avec les usagers de ton sdk tu dois :1. leur fournir un texte qui explique clairement l’usage que ton sdk fait de ces données et pourquoi2. leur fournir un texte de demande de consentement3. leur mettre la pression s’ils ne le font pasDu coup l’application ne demandera le consentement “fonctionnel” qu’une seule fois à l’utilisateur un OUI/NON/Paramétrer (et dans le paramétrer une liste avec des opt-in/opt-out pour chaque sdk).Et après il y aura le(s) consentement(s) technique. Par exemple sur iOS le GPS c’est le système qui fait sa pop-up de demande.&nbsp;Enfin pour Teemo le problème en plus du sdk c’est qu’ils couplaient avec des données “captées” en magasin via des spoofers d’adresses MAC.&nbsp;








Dj a écrit :



&nbsp;https://www.numerama.com/politique/282934-enquete-comment-les-apps-figaro-lequip…

&nbsp;





Merci pour ce complément également très intéressant.



Je pense qu’il est important d’insister là dessus : il ne faut pas utiliser des applications de “conforts” !

Autant les applications “avancées” sont intéressantes, autant une application pour aller sur le Figaro… (ou tout autre journal, hein !)



L’option ajoutée par Apple pour autorisé temporairement une application à accéder à la position est également une bonne chose…



Bref, en gros ils savent pertinemment que ce qu’ils font est illégal et immoral, mais ils jouent sur le flou du moment pour faire un maximum de blé… J’espère qu’il se prendront une amende de 4% de leur CA, malheureusement ça ne peut pas être plus !



Il faut bien prendre en compte que la CNIL considère les deux sociétés comme étant Responsable de Traitement (RT). De ce fait, elles ont des obligations qu’elles ne peuvent déléguer simplement en rajoutant une clause dans un contrat sans mettre en place de contrôles derrières.&nbsp;



En gros, ces deux sociétés sont RT car le SDK n’est qu’un moyen de collecte de données. Les deux sociétés sont maître de la finalité des traitements. Elles recoupent les données issus de leurs différents clients pour produire un profil qu’elles transmettent ensuite à leurs clients (en lus de traiter les informations pour leur propre compte !).



Il n’y aurait pas le recoupage des données entre leurs différents clients (et donc le profil remonté pour un client ne serait issu que des informations récoltées par ce client), ni le traitement pour leur propre compte, la situation serait sûrement différente et ces sociétés pourraient être considérées uniquement comme prestataires et non comme RT.


J’ai de mauvais pressentiments sur l’avenir de la CNIL. Je sent que plus elle va bien faire son boulot, moins on va lui donner les moyens de le faire… Une commission qui tape sur les entreprises et non sur les consommateurs ça devient singulier.








athie a écrit :













fdorin a écrit :









Merci pour ces explications qui répondent clairement à tout la première partie de mon message.



Je reste dubitatif pour la partie information avant l’installation, et fourniture de l’appli cliente sans le SDK, qui me semblent être du ressort de l’application cliente, et donc hors de contrôle des rappelés à l’ordre.



Peut-être que pour ces deux aspects, on aurait toléré qu’ils le traitent par engagement contractuel, seule chose sur laquelle ils peuvent vraiment agir, mais qu’ils ne l’ont pas fait.









Nozalys a écrit :



plus elle va bien.







mieux* <img data-src=" />









ProFesseur Onizuka a écrit :



Pourquoi la CNIL n’attaque pas Le figaro, L’équipe, Casino? Ce sont eux les commanditaires de ces voleurs de vie privée <img data-src=" />





Casino? J’ai raté un truc?



Voir le lien du commentaire #6, ça site Monoprix (Casino), Carrefour, Intermarché qui travaillent avec Teemo <img data-src=" />








Zerdligham a écrit :



En tant que fournisseur d’une ‘brique technique’ SaaS, je suis apparemment supposé trouver un moyen de forcer l’application qui m’utilise à demander un consentement explicite. Une obligation contractuelle ne suffirait pas. Mais est-ce seulement possible? et est-ce que ça aidera vraiment l’éclairage du consentement si 12 SDK demandent chacun explicitement un consentement, par rapport à si c’est l’application parente qui le fait?





Totalement d accord, si l objectif d information et de consentement préalable est légitime (et surtout imposé par la réglementation), mettre en demeure le responsable du SDK dont il est fait sciemment un mauvais usage par les utilisateurs est totalement délirant, sauf à démontrer que le responsable du SDK la savait et n a pas réagi malgré la clause qu il a lui même imposé. Ca revient a nier le principe de la responsabilité personnelle, la CNIL déraille totalement dans son approche des responsabilités.



J’ai le même pessimisme…








Nozalys a écrit :



J’ai de mauvais pressentiments sur l’avenir de la CNIL. Je sent que plus elle va bien faire son boulot, moins on va lui donner les moyens de le faire… Une commission qui tape sur les entreprises et non sur les consommateurs ça devient singulier.







Non, c’est pas si singulier que ça.



Accessoirement, leur rôle primaire n’est pas de “taper” mais de réguler un marché ou un secteur dans un cadre de mission défini par la Loi. Le pouvoir de sanction n’est qu’une de leurs possibilités.



«Elle a par ailleurs été informée que la société FIDZUP impose contractuellement que les conditions générales d’utilisation (CGU) des applications mobiles de ses partenaires indiquent que des traitements sont effectués par la société FIDZUP et incluent un lien vers la procédure d’opposition au traitement présente sur le site FIDZUP.



La délégation a été informée que la société effectue des vérifications sur ce point et qu’elle n’a, au jour du contrôle, pas eu le temps d’effectuer des vérifications sur chacune des applications partenaires.»



Voilà comment est rapportée la clause contractuelle. Effectivement, elle n impose pas l information préalable avant l installation des applies partenaires. La décision de la CNIL n est pas la sortie de route que laisse entre son communiqué de presse (qui est lui totalement à côté de la plaque)


C’est pas toujours évident de bien concevoir la notion “d’indépendance” de toute ces “Autorités administratives indépendantes françaises”, quand on voit avec quelle indépendance le CSA s’est vu nommé son dernier président. Certes ce n’est qu’un exemple parmi 26 autorités, mais ça me laisse perplexe malgré tout.



D’autre part, je sais bien que la CNIL n’a pas comme mission principale de sanctionner, cependant dans le monde de l’argent-Roi, il n’y a aucune autre manière de faire passer des messages et des obligations auprès des acteurs privés. Et ces derniers n’aiment pas trop les commission et autres autorités un peu indépendantes qu’on ne peut pas soudoyer pour s’éviter des punitions.



AMHA il ne faudrait pas grand chose pour qu’un jour, la CNIL qui pourrait sanctionner un acteur privé ayant de forts lien de copinage avec un quelconque homme politique plutôt haut placé se fasse changer de président (du genre nomination CSA). C’est ça, le genre de scénario que je crains voir un jour.