Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

La CNIL réexplique le consentement libre et explicite dans deux mises en demeure

Après DSK, SDK
Droit 5 min
La CNIL réexplique le consentement libre et explicite dans deux mises en demeure
Crédits : Marc Rees (licence CC-BY-SA 3.0)

La CNIL a adressé hier des mises en demeure à deux sociétés qui ont effectué des traitements de données de géolocalisations à des fins publicitaires, sans le consentement des personnes concernées. Ce n’est pas encore la première décision mettant en application le RGPD, mais la date des faits s’en approche.

Teemo (ex Databerries) a pour spécialisation les publicités interstitielles sur smartphones selon la géolocalisation de leurs détenteurs. Elle peut également mesurer les visites dans les points de vente de ses partenaires.

La société avait fait l’objet de contrôles sur place par la CNIL en octobre 2017, où la commission découvrait un peu mieux les rouages de son système reposant sur un SDK (kit de développement logiciel) destiné à collecter les données de géolocalisation outre l’identifiant publicitaire généré par le système d’exploitation du smartphone.

Ces bouts de code sont ensuite intégrés dans les applications mobiles des partenaires. La suite est simple : ces informations sont croisées avec les points d’intérêts, presque en temps réel puisque la géolocalisation est mise à jour toutes les vingt minutes.

Lors de son contrôle, la CNIL a repéré qu’en une seule journée, 1,6 million d’identifiants publicitaires avaient été associés aux données de géolocalisation. En tout, près de 14 millions d’identifiants publicitaires distincts avaient été collectés sur les treize derniers mois, représentant autant de smartphones.

Défaut d'information

Seulement, remarque la CNIL, « lorsque l’utilisateur d’un smartphone valide l’autorisation d’accès à ses données de géolocalisation pour le fonctionnement de l’application, ses données sont également transmises à la société Teemo sans qu’il en soit informé et sans que son consentement ne soit recueilli pour cette transmission ». Et ce même lorsque l’utilisateur est situé en dehors du périmètre d’un point d’intérêts.

Les données sont ensuite conservées durant 13 mois, dans une base hébergée par Google Cloud, suite à un contrat passé avec l’entreprise américaine, qui « ne prévoit pas de clauses relatives à la sécurité et à la confidentialité des données ».

La CNIL, qui n’a eu aucun mal à identifier Teemo comme responsable d’un traitement de données personnelles, a réexpliqué que le consentement devait être donné « par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord ».

Un consentement non libre, non explicite

Cette obligation de la loi CNIL passe d’abord par une nécessaire information. Ici, les utilisateurs ne peuvent télécharger l’application sans le SDK. « Ce traceur est donc indissociable des applications partenaires. En conséquence, les utilisateurs des applications mobiles ne sont pas libres de consentir au traitement des données de géolocalisation réalisé par la société Teemo, à partir des données transmises par les applications, l’utilisation de ces dernières impliquant automatiquement la transmission de données à ladite société ».

La société a bien répondu qu’elle obligeait contractuellement ses partenaires à informer explicitement les utilisateurs de l’usage des données de géolocalisation, mais pour la commission,  c’est insuffisant. L’information n’est pas nécessairement systématique outre qu’elle intervient trop tardivement, après l’installation de l’application (et du SDK) et donc après la collecte des données à des fins publicitaires.

Pire : « lorsqu’un nouveau partenariat est conclu avec une société, le SDK est intégré au smartphone du mobinaute à l’occasion d’une mise à jour de l’application si celle-ci est déjà téléchargée. Or, à cette occasion les nouvelles conditions générales d’utilisation ou politiques de vie privée des applications ne sont pas directement portées à la connaissance des mobinautes ».

Enfin, sur la durée du traitement, la CNIL lui a reproché de conserver les informations de géolocalisation pour une durée disproportionnée. « La société ne peut justifier la conservation de l’intégralité des données de géolocalisation des personnes, durant treize mois, au motif que certains de ses partenaires pourraient avoir besoin de connaître les lieux visités par les mobinautes sur cette période » souligne la délibération, avançant un risque d’atteinte à la vie privée.

Le couplage application et SDK

Le modèle d’affaires de Fidzup est similaire : des mesures de fréquentation et d’analyse du comportement des consommateurs dans les magasins. Des publicités ciblées sont adressées à personnes physiques localisées à proximité des points de vente de ses clients annonceurs, équipés d’un dispositif de remontée d’informations WI-FI nommé FIDBOX.

Le SDK prévoit de collecter l’identifiant publicitaire et l’adresse MAC des smartphones sous Android. Ce couplage permet d’adresser des annonces selon la géolocalisation des utilisateurs. Près de 6 millions d’identifiants publicitaires ont été collectés par la société, selon les constatations de la CNIL effectuées sur place en septembre 2017.

Les défauts adressés à la première société se retrouvent ici : information très laconique des personnes quant à la collecte et au ciblage publicitaire lors de l’installation ou l’utilisation des applications. Il y a bien un message qui leur demande d’autoriser l’accès à la position de l’appareil, mais elles ne peuvent deviner le ciblage publicitaire organisé en coulisse.

La société a bien fait en sorte qu’une notice soit affichée dans les magasins équipés de Fidbox, mais cette information est jugée trop tardive : « elle n’est accessible aux personnes qu’après l’installation de l’application et du SDK et donc une fois leurs données déjà traitées par la société Fidzup ». En outre, la notice ne peut être lue que lorsque les personnes concernées se trouvent dans le magasin.

Identiquement, la question du consentement ne trouve pas de réponse satisfaisante. « Les applications des éditeurs partenaires qui utilisent le SDK n’existent pas dans une version sans celui-ci et (…) par conséquent, les personnes ne peuvent télécharger les applications mobiles sans télécharger le SDK. Ce traceur est donc indissociable des applications partenaires ».

Un avant-goût du RGPD

Les utilisateurs ne sont donc pas libres de consentir dans cette stratégie du tout ou rien, de plus ils « sont amenés à valider l’autorisation de la collecte de leurs données, y compris de localisation, uniquement pour l’utilisation de l’application mobile téléchargée ». Le consentement n’est donc ni libre ni spécifique.

Teemo et Fidzup ont désormais trois mois pour effectuer le ménage de rigueur. À défaut, la CNIL dirigera la procédure vers le couloir des sanctions. Pour peser davantage, les deux délibérations ont été rendues publiques par la formation restreinte. Elles sont intéressantes, car elles esquissent finalement la façon dont la CNIL analysera le respect du consentement sous le prisme du RGPD. Le règlement reprend en effet les principes de base ici bafoués.

21 commentaires
Avatar de MisterDams Abonné
Avatar de MisterDamsMisterDams- 20/07/18 à 09:39:50

Je sens que la CNIL est revigorée par l'évolution du cadre juridique et que les prochains mois vont être riches en cas similaires.

Avatar de js2082 INpactien
Avatar de js2082js2082- 20/07/18 à 09:50:54

Elle a de quoi faire carnage effectivement.

Entre les GAFAM qui font la sourde oreille et les plus petits qui espèrent passer inaperçus, il y a du boulot.

Mais avec ses nouveaux pouvoirs de sanction, je pense que quand elle aura mis quelques amendes bien senties, ces sociétés commenceront à y réfléchir à deux fois.

On notera qu'il est triste que la CNIL doive montrer les crocs pour que ces sujets soient pris au sérieux.

Édité par js2082 le 20/07/2018 à 09:54
Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 20/07/18 à 10:32:49

Par curiosité je suis allé voir sur les sites des deux sociétés mentionnées qui mentionnent leurs (meilleurs) clients, et ce ne sont pas d'obscures sociétés inconnues au bataillon leurs clients, mais bel et bien des boîtes connues et ayant pignon sur rue :/

edit: j'avais oublié le mot client :transpi:

Édité par tpeg5stan le 20/07/2018 à 10:34
Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 20/07/18 à 10:41:08

Comment se fait le recueil des données précisément ?

Teemo (ex Databerries) a pour spécialisation les publicités
interstitielles sur smartphones selon la géolocalisation de leurs
détenteurs. Elle peut également mesurer les visites dans les points de
vente de ses partenaires.

On parle de SDK, cela concerne donc uniquement des applications ? Ou bien le seul fait de visiter un site web ? Ou juste la géoloc activée ?

Avatar de ytterbium INpactien
Avatar de ytterbiumytterbium- 20/07/18 à 10:54:36

Effectivement.

MOi j'aime bien leurs belles rubriques « RGDP » ou « Vie privée  ».

Ou le blabla d'accueil de Fidzup : 

Votre point de vente devient un générateur de data au centre de votre stratégie de Marketing Digital Local.
Générez la data client grâce à votre point de vente et activez la en publicité digitale locale.

Édité par ytterbium le 20/07/2018 à 10:54
Avatar de Dj Abonné
Avatar de DjDj- 20/07/18 à 11:17:25

Jarodd a écrit :

Comment se fait le recueil des données précisément ?

On parle de SDK, cela concerne donc uniquement des applications ? Ou bien le seul fait de visiter un site web ? Ou juste la géoloc activée ?

&nbsphttps://www.numerama.com/politique/282934-enquete-comment-les-apps-figaro-lequip...
 

Avatar de Zerdligham INpactien
Avatar de ZerdlighamZerdligham- 20/07/18 à 11:39:48

En tant que fournisseur d'une 'brique technique' SaaS, je suis apparemment supposé trouver un moyen de forcer l'application qui m'utilise à demander un consentement explicite. Une obligation contractuelle ne suffirait pas. Mais est-ce seulement possible? et est-ce que ça aidera vraiment l'éclairage du consentement si 12 SDK demandent chacun explicitement un consentement, par rapport à si c'est l'application parente qui le fait?
Plus encore, comment suis-je supposé obtenir ce consentement avant l'installation de l'application, sachant que je n'en suis pas l'auteur, et que je n'ai donc aucun pouvoir sur la description qui en est faite sur le store?

Idem pour la possibilité d'obtenir une application sans le SDK. Comment se fait-il que ce soit le fournisseur du SDK qui soit critiqué, et non le développeur de l'application qui utilise le SDK? Après tout, c'est pas le fournisseur du SDK qui décide comment celui-ci est utilisé...

Je ne suis pas fan de me faire tracer moi non plus, et ces sociétés ne semblent pas avoir fait beaucoup d'efforts pour respecter la législation, donc je ne vais pas les plaindre. Par contre j'arrive pas à comprendre ce qui est attendu d'elles.
Je trouverais plus logique que ce soit le développeur 'assembleur' qui soit responsable de récolter le consciemment des utilisateur pour l'ensemble des traceurs qu'il inclut dans son application.

Avatar de ProFesseur Onizuka Abonné
Avatar de ProFesseur OnizukaProFesseur Onizuka- 20/07/18 à 11:45:21

Pourquoi la CNIL n'attaque pas Le figaro, L'équipe, Casino? Ce sont eux les commanditaires de ces voleurs de vie privée :windu:

Avatar de athie Abonné
Avatar de athieathie- 20/07/18 à 11:51:41

"si 12 SDK demandent chacun explicitement un consentement, par rapport à si c'est l'application parente qui le fait? "<= en fait tu peux te baser sur l'existence du consentement transmis par l'application elle même (tous les membre de l'IAB se sont accordé pour que le consentement soit normalisé sous forme d'une string).Du coup au niveau de ton sdk tu dois prévoir : 1. de n'effectuer aucune capture/transmission de donnée sans la présence du consentement2. d'aller vérifier la présence de cette consent-string (ou sinon de proposer un callback pour que l'appli te file le consentement)et au niveau de ton contrat avec les usagers de ton sdk tu dois :1. leur fournir un texte qui explique clairement l'usage que ton sdk fait de ces données et pourquoi2. leur fournir un texte de demande de consentement3. leur mettre la pression s'ils ne le font pasDu coup l'application ne demandera le consentement "fonctionnel" qu'une seule fois à l'utilisateur un OUI/NON/Paramétrer (et dans le paramétrer une liste avec des opt-in/opt-out pour chaque sdk).Et après il y aura le(s) consentement(s) technique. Par exemple sur iOS le GPS c'est le système qui fait sa pop-up de demande. Enfin pour Teemo le problème en plus du sdk c'est qu'ils couplaient avec des données "captées" en magasin via des spoofers d'adresses MAC. 

Avatar de Pilipooop Abonné
Avatar de PilipooopPilipooop- 20/07/18 à 12:38:21

Dj a écrit :

 https://www.numerama.com/politique/282934-enquete-comment-les-apps-figaro-lequip...
 

Merci pour ce complément également très intéressant.

Je pense qu'il est important d’insister là dessus : il ne faut pas utiliser des applications de "conforts" !
Autant les applications "avancées" sont intéressantes, autant une application pour aller sur le Figaro... (ou tout autre journal, hein !)

L'option ajoutée par Apple pour autorisé temporairement une application à accéder à la position est également une bonne chose...

Bref, en gros ils savent pertinemment que ce qu'ils font est illégal et immoral, mais ils jouent sur le flou du moment pour faire un maximum de blé... J'espère qu'il se prendront une amende de 4% de leur CA, malheureusement ça ne peut pas être plus !

Il n'est plus possible de commenter cette actualité.
Page 1 / 3