Publicité mobile : la CNIL met en demeure Singlespot de respecter le RGPD

Publicité mobile : la CNIL met en demeure Singlespot de respecter le RGPD

Consentement facultatif

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

23/10/2018 7 minutes
10

Publicité mobile : la CNIL met en demeure Singlespot de respecter le RGPD

Singlespot fournit des outils pour compter les mobinautes en magasin et leur envoyer des publicités ciblées. La CNIL a relevé plusieurs manquements dans sa gestion des données, en particulier un consentement souvent absent et une manipulation des données maladroite. Il s'agit de la première mise en demeure publique s'appuyant sur le RGPD. 

La CNIL donne trois mois à la société Singlespot, spécialiste des campagnes publicitaires ciblées sur mobile, pour respecter le droit sur les données personnelles. La société ne recueille pas le consentement des internautes, qui ne peuvent ni accepter, ni refuser le traitement de leurs données de géolocalisation. Les services de la société sont utilisés dans une vingtaine d'applications, dont de presse.

Ce consentement est la base officielle des traitements de Singlespot, via son SDK. Pourtant, elle n'impose pas aux applications de s'en assurer, conserve des données obtenues sans en avoir une utilité et multiplie les mauvaises pratiques sur la protection de sa base.

Une géolocalisation fréquente mais silencieuse

Selon la CNIL, Singlespot compte 27 salariés, enregistre un chiffre d'affaires de 4,2 millions d'euros en 2017 et un résultat net de 418 000 euros. Sa collecte passe par une boite à outils (SDK) pour applications Android et iOS. Le service récupère la géolocalisation toutes les cinq minutes sur Android et tous les 200 mètres sur iOS, en plus de l'identifiant publicitaire de chaque appareil et de données techniques.

Le service permet ainsi des campagnes publicitaires ciblées sur mobile, en fonction des lieux visités outre le décompte de visiteurs en magasins. Par exemple ceux ayant visité un magasin particulier ou ceux de concurrents dans les 15 derniers jours. Plus de 5,5 millions d'identifiants publicitaires ont été collectés, selon la CNIL.

La CNIL a visité la société le 29 mai.  L'autorité a constaté donc que les données sont envoyées à Singlespot sans que l'utilisateur n'en soit informé.

« La société collecte des données de géolocalisation sans recueillir le consentement des personnes. Un tel traitement constitue un risque particulier au regard de la vie privée en ce qu’il est révélateur des déplacements des personnes et de leurs habitudes de vie » écrit l'institution dans sa délibération.

Les données sont conservées pendant 13 mois par Singlespot dans une base de données unique, qui sert à vendre des services à tous ses clients.  Même une fois l'utilisateur sorti des points d'intérêt (comprendre les boutiques), ses données sont donc gardées. Une « conservation excessive » pour l'autorité.

Cette base est protégée par un simple mot de passe à 16 caractères (sans caractères spéciaux) et est utilisée pour des tests de développeurs, affirme Singlespot à la commission. Des pratiques contraires à l'article 32-1 b) du RGPD.

Aussi, une table de la base de données associe chaque profil à des mots-clés, comme « beauty, fashion, deco ». Des données inutiles, issues d'un projet abandonné en janvier dernier, pourtant toujours bien là. Nouveau manquement, face à l'article 5-1 e) du RGPD cette fois.

Très peu de contraintes pour les applications

Lors du contrôle sur place du 29 mai, soit quatre jours après l'entrée en application du RGPD, l'entreprise assurait retravailler son contrat avec les éditeurs d'applications, pour préciser leur responsabilité sur le recueil du consentement... Une version qui ne convient pas à la CNIL, pour laquelle le texte proposé ne détaille pas les modalités concrètes de ce recueil.

En outre, elle impose seulement une mention de son nom dans la politique de confidentialité des applications en question. Insuffisant, juge la commission.

Certains éditeurs se contentent donc du recueil en bloc du consentement à l'installation de l'application, sans préciser la récupération de Singlespot. Une violation cette fois de l'article 6 du Règlement général sur la protection des données (RGPD), selon la CNIL.

La CNIL prône la transparence sans l'appliquer

La CNIL ne publie pas toujours ses mises en demeure et sanctions. Leur publicité reste toute de même l'une de ses principales armes pour remettre les brebis dans le droit chemin. Dans sa délibération, elle la justifie d'ailleurs par « la nécessité de mettre les personnes concernées en mesure de garder le contrôle de leurs données ».

Pourtant, la commission se garde bien de détailler quelles applications contiennent l'indélicat. Tout juste indique-t-elle que 15 sociétés, derrière 25 applications sont concernés, principalement des éditeurs de presse. Contactée, Singlespot refuse de nous révéler la liste de ses clients.

Heureusement, des bénévoles appliquent vraiment la transparence, au lieu de seulement la prôner. L'association Exodus Privacy a déniché des traces du mouchard dans une vingtaine d'applications, dont celles d'Allociné, d'Auto Journal, de Closer, de Marmiton, du Point, de Science et Vie et de Vie De Merde.

Le RGPD en piste

Concrètement, la commission demande à l'entreprise de s'assurer que les applications recueillent bien le consentement explicite pour son service, de ne conserver les données que le temps nécessaire, de  supprimer les données de géolocalisation des internautes une fois ceux-ci sortis des points d'intérêt, de mieux protéger la base de données et de séparer les environnements de développement et de production.

Si l'entreprise se conforme aux demandes de la commission, celle-ci ne prononcera pas de sanction. Dans le cas contraire, elle sera prononcée en tenant compte du RGPD, qui a rehaussé la sanction maximale en mai dernier, à 4 % du chiffre d'affaires annuel ou 20 millions d'euros.

Dans un communiqué, la société assure coopérer avec la CNIL. « Nos experts techniques sont mobilisés depuis nos premiers échanges avec la CNIL pour mettre à jour notre logiciel et apporter les gages de notre conformité en matière de recueil du consentement explicite des mobinautes et de durée proportionnée de conservation des points de géolocalisation » promet-elle.

Le 5 octobre, elle a envoyée à la commission un modèle de fenêtre pour obtenir l'accord de l'utilisateur. Malheureusement, note l'autorité dans sa décision, rien dans le contrat avec Singlespot n'oblige les applications à l'intégrer.

Cette mise en demeure intervient après la clôture de celle contre Teemo, un autre mouchard qui pistait les utilisateurs de dizaines d'applications sans qu'ils le sachent. L'affaire a d'ailleurs été la raison de la création d'Exodus Privacy. Par ailleurs, la CNIL a publié quelques règles pour les mesures de fréquentation de lieux sur mobile, à destination des entreprises de plus en plus nombreuses à s'y adonner.

Première mise en demeure publique post-RGPD

Questionné, Mathias Moulin, à la tête de la direction de la protection des droits et des sanctions, nous indique que cette décision est la première mise en demeure publique s’appuyant sur le RGPD. « Une autre a déjà été rendue, mais elle n’a pas été publiée. »

Dans l’agenda, la décision de contrôler cette société est antérieure au 25 mai, mais le premier contrôle sur place a eu lieu quatre jours plus tard, le 29 mai. C'est cette date de constat qui a justifié la mise en oeuvre du nouveau règlement européen, non la date de la décision administrative initiale. 

Pour expliquer le choix d’une mise en demeure à l’encontre de cette société, alors que la CNIL aurait pu directement passer par la case sanction, plusieurs critères ont été pris en compte par la direction. « Dans notre arsenal, on fait le choix d’utiliser cette voie quand on considère qu’il s’agit du bon vecteur pour s’adresser à une petite structure technologique récente. Cela répond aussi à notre souhait d’offrir un accompagnement et une clarification à tous les acteurs ».

Le directeur de la CNIL nous prévient néanmoins que les premières sanctions devraient être rendues en fin d’année ou au début 2019.

Propos de Mathias Moulin recueillis par Marc Rees.

10

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une géolocalisation fréquente mais silencieuse

Très peu de contraintes pour les applications

La CNIL prône la transparence sans l'appliquer

Le RGPD en piste

Première mise en demeure publique post-RGPD

Commentaires (10)


Quel courage, quelle détermination ! Merci la CNIL de défendre si vigoureusement les droits des citoyens. Prenez garde de ne pas être trop sévères avec cette PME, dont on ne peut décemment pas attendre qu’elle connaisse le droit à la vie privée, vu son secteur d’activité…








Quiproquo a écrit :



Quel courage, quelle détermination ! Merci la CNIL de défendre si vigoureusement les droits des citoyens. Prenez garde de ne pas être trop sévères avec cette PME, dont on ne peut décemment pas attendre qu’elle connaisse le droit à la vie privée, vu son secteur d’activité…






 Fumer une entreprise n'a pas franchement de sens si une mise en demeure permet d'arriver à se mettre en conformité.      






Par contre, je m'interroge, à suivre la décision non seulement la Société singlepopol est un responsable du traitement, mais ça devrait être également le cas des Sociétés propriétaires des applications utilisant le SDK, du coup pourquoi ne pas mettre en demeure Allociné, d'Auto Journal etc ?      






En revanche, je rigole avec les prescriptions finales de la décision qui tentent de reprendre celles de l'ANSI mais sans avoir vu qu'il y avait quelques autres impératifs tout aussi importants dans les recommandations de l'ANSI:      

"les mots de passe doivent faire "minimum 12 caractères, contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial", ou alors que 8 caractères "contenant 3 des 4 catégories de caractères" mais avec un dispositif de temporisation et même une captcha et un blocage à 10 tentatives de connexion. Et utiliser à minima le SHA 256 pour le stockage du hash".






Outre le fait qu'à la louche l'essentiel du web doit pas être dans les clous (à vérifier mais il me semble qu'OVH limite à 8 caractères), la question de la techno employée est tout aussi importante que le nombre de caractères du mot de passe.       






C'est un peu comme certains DPO qui font une fixette sur le fait de bien cocher "demander le mot de passe à la sortie de la veille", sur un poste xp c'est très utile le mot de passe par exemple ^^


Je n’ai pas bien saisi comment se faisait cette collecte d’infos non consentie. Il suffit d’avoir un de ces applications installées pour tomber dans leur filet, et de passer dans un de leurs “points d’intérêt”, donc n’importe quel magasin ?


Une stratégie pourrait être de frapper au portefeuille cette société qui ignore ostensiblement ses obligations (alors que le traitement de données personnelles est son coeur de métier), sans forcément la mettre dans le rouge, pour faire réfléchir la myriade d’autres qui sont en mode wait & see.



Si la CNIL rend publique sa décision, c’est pour communiquer dessus. Quitte à faire de la pédagogie, autant choisir une association caritative dépassée par les évènements pour l’exemple, plutôt qu’une boîte de pub qui tire allègrement sur la corde. Là, le message c’est “Si vous traînez volontairement les pieds parce que le respect du RGPD rogne vos marges, on vous fera les gros yeux”. Je trouve ça moyen.








Jarodd a écrit :



Je n’ai pas bien saisi comment se faisait cette collecte d’infos non consentie. Il suffit d’avoir un de ces applications installées pour tomber dans leur filet, et de passer dans un de leurs “points d’intérêt”, donc n’importe quel magasin ?





le SDK est employé par les applications citées, les applications demandant visiblement une autorisation générale à l’installation sans distinguer le traitement lié aux données GPS par exemple qui te flique pour te fourguer de la publicité.



Du coup, la CNIL demande (notamment) à singlepopol d’imposer aux utilisateurs de son SDK de distinguer le consentement à l’installation de l’application de celui lié au flicage de singlepopol.









Quiproquo a écrit :



Une stratégie pourrait être de frapper au portefeuille cette société qui ignore ostensiblement ses obligations (alors que le traitement de données personnelles est son coeur de métier), sans forcément la mettre dans le rouge, pour faire réfléchir la myriade d’autres qui sont en mode wait & see.



Si la CNIL rend publique sa décision, c’est pour communiquer dessus. Quitte à faire de la pédagogie, autant choisir une association caritative dépassée par les évènements pour l’exemple, plutôt qu’une boîte de pub qui tire allègrement sur la corde. Là, le message c’est “Si vous traînez volontairement les pieds parce que le respect du RGPD rogne vos marges, on vous fera les gros yeux”. Je trouve ça moyen.





Moi je comprends la mise en demeure comme la dernière limite avant de prendre un bouchon de la part de la CNIL.



Sous iOS dans Réglages on peut désactiver la demande de position, son actualisation en arrière plan et les données cellulaires pour :



Allociné et FidMe ( je n’ai pas les autres mentionnées par Exodus Privacy).








crocodudule a écrit :



Outre le fait qu’à la louche l’essentiel du web doit pas être dans les clous (à vérifier mais il me semble qu’OVH limite à 8 caractères), la question de la techno employée est tout aussi importante que le nombre de caractères du mot de passe.





On peut avoir des mot de passes de plus de 8 caracteres ches OVH :)









Oprax a écrit :



On peut avoir des mot de passes de plus de 8 caracteres ches OVH :)





Sur la DB ? J’avais testé et de me mémoire on était bloqué à 8, cool s’ils ont changé ça.



Pour se connecter a l’interface de gestion, j’utilise pas de DB chez eux donc je ne peux pas dire