webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

Publicités ciblées & performance des campagnes marketing : le SDK dans la ligne de mire de la CNIL !

Décision de la CNIL n°MED 2018-042 du 30 octobre 2018 mettant en demeure la société VECTAURY

La CNIL a saisi la société Vectaury, start-up spécialisée dans le ciblage publicitaire, lui reprochant d’exploiter des données d’utilisateurs de smartphones sans leur accord.



Cette année la CNIL est particulièrement vigilante en matière de traitements de données réalisés via des logiciels dénommés SDK. Ces outils sont intégrés dans le code d’applications mobiles permettant de collecter les données des utilisateurs des smartphones dont notamment l’identifiant publicitaire des smartphones et les données de géolocalisation des personnes en vue d’envoyer des publicités ciblées.

Ces données sont ensuite croisées avec des points d’intérêts (généralement des points de vente physiques), ce qui permet d’évaluer la performance d’une campagne marketing.

Depuis cet été, la CNIL a procédé à plusieurs contrôles sur place de plusieurs entités qui ont recours à ces outils, qu’il s’agisse d’éditeurs d’applications mobiles ou de prestataires offrant des services d’affichage de publicités ciblées et d’évaluation de la performance des campagnes marketing aux éditeurs d’applications.

Après le contrôle des sociétés TEEMO et FIDZUP ayant abouti à une mise en demeure de chacune d’elle en juillet dernier, puis de la société SINGLESPOT mise en demeure le 8 octobre 2018, la société Vectaury a, à son tour, fait l’objet d’un contrôle de l’autorité de contrôle et d’une mise en demeure le 30 octobre dernier.

Retour sur les manquements constatés.

  • Les faits

Vectaury est une société spécialisée dans la programmation informatique et notamment l’édition et la vente d’outils informatiques.

Elle affiche pour le compte de ses clients annonceurs des publicités sur les smartphones.

Elle a également pour activité de mesurer les visites des porteurs de smartphone dans les points de vente de ses clients.

A partir de données de géolocalisation, Vectaury détermine le profil de chaque utilisateur, déterminant ainsi les habitudes de leurs déplacements en vue de leur proposer de la publicité ciblée.

Le 23 mai 2017, la société a effectué auprès de la CNIL un engagement de conformité à la norme simplifiée no 48 portant sur les traitements relatifs à la gestion de clients et de prospects.

En application d’une décision du 30 mars 2018 de la Présidente de la Commission, une délégation de la CNIL a procédé à des missions de contrôle sur place auprès de la société Vectaury.

La lettre de mission du contrôle prévoyait notamment la vérification de la conformité à la loi Informatique et Libertés de l’ensemble des traitements de données à caractère personnel mis en œuvre par la société.

Afin de réaliser ses activités de profilage, la société a indiqué avoir développé un logiciel SDK, intégré par ses partenaires dans leurs applications mobiles et qui permet de collecter les données de géolocalisation ainsi que l’identifiant publicitaire mobile, le nom et la version de l’application mobile et le système d’exploitation utilisé (ANDROID ou IOS).

Les données collectées grâce à ce logiciel SDK sont ensuite croisées avec des points d’intérêts « POIs » déterminés avec ses clients annonceurs et qui correspondent à des coordonnées géographiques de lieux permettant de révéler un profil de consommateur, tels que des points de vente physiques.

Enfin et dans un troisième temps, Vectaury réalise des campagnes marketing à travers l’achat d’espaces publicitaires sur les plateformes de ventes aux enchères de publicités en temps réel. Ce système permet à des applications mobiles de trouver un annonceur pour afficher des publicités sur les espaces publicitaires qu’elle comprend.

Afin d’estimer la valeur de l’espace publicitaire pour ses clients et placer une enchère, les diverses données reçues de l’application où s’affichera la publicité sont transmise à Vectaury et conservée par elle.

En outre, dans le but de mesurer l’impact et la performance des campagnes marketing (c’est-à-dire la société vérifier si et combien d’utilisateurs ciblé par les publicités se sont rendus dans un point de vente physique) Vectaury analyse et recoupe les données collectées via le SDK et le système de demande d'enchère en temps réel.

Lors de ses opérations de contrôle, la délégation de la CNIL a constaté, sur plusieurs applications mobiles intégrant le SDK de la société Vectaury que, lorsque l’utilisateur d’un smartphone valide l’autorisation d’accès à ses données de géolocalisation pour le fonctionnement de l’application, ses données sont également transmises à la société Vectaury sans qu’il en soit spécifiquement informé et sans que son consentement ne soit recueilli pour cette transmission.

Ces données de géolocalisation ainsi que celles du système d’enchère sont ensuite conservées par la société Vectaury pendant douze mois à compter de la date de leur collecte.

Pour rendre sa décision, la CNIL s’est attachée dans un premier temps à qualifier le rôle de la société Vectaury, puis dans un second temps à vérifier la conformité des traitements mis en œuvre ou constater les manquements.

  • Sur la qualification de la société Vectaury

La CNIL retient que dans la mesure où la société Vectaury détermine dans une large mesure les finalités et les moyens des traitements mis en œuvre dans le cadre de l’utilisation du SDK et des dispositifs d’enchères de publicités en temps réel et que la société traite pour son propre compte les données à caractère personnel collectées pour vendre des services d’analyse ou de profilage auprès de ses clients, elle doit être qualifiée de Responsable de traitement.

  • Sur les manquements constatés

Le traitement des données de géolocalisation aux fins de marketing ciblé est fondé sur le consentement des personnes concernées.

La société Vectaury a indiqué à la Commission qu’elle propose aux éditeurs d’application une interface d’information visant à recueillir le consentement des utilisateurs.

La Société a également développé, en partenariat avec une association de professionnels du marché de la publicité sur internet, un outil destiné à uniformiser les modalités de recueil du consentement via les SDK dénommé Consent Management Provider (CMP).

Lorsque cet outil est implémenté dans une application, une première information au lancement de l’application est délivrée. Cette information s’accompagne d’un lien hypertexte renvoyant vers les politiques de confidentialité de l’application.

L’utilisateur a ensuite le choix entre accepter, refuser ou affiner ses préférences. Par défaut, si l’utilisateur choisi d’affiner ses préférences, la collecte des données est réputée acceptée par l’utilisateur. Pour refuser, l’utilisateur doit décocher l’ensemble des cases se rapportant aux différentes finalités de la collecte.

La CNIL a considéré que le mécanisme en place ne permet pas de répondre aux obligations en matière de consentement et notamment celles découlant du Règlement Général sur la Protection des Données Personnelles (RGPD).

En effet, il est apparu que ce consentement n’était pas informé dès lors que le texte de présentation adressé à l’utilisateur à la première ouverture de l’application ne présente pas la clarté requise en ce qu’il ne permet pas aux personnes concernées de comprendre précisément à quoi elles consentent. La CNIL relève que ce texte manque également de transparence et qu’il est rédigé dans des termes si flous qu’il peut induire en erreur les utilisateurs quant à la non-gratuité du service en cas de refus.

De plus, la CNIL a constaté que le consentement n’était pas spécifique puisque les personnes concernées sont amenées à valider l’autorisation de collecter leurs données de géolocalisation uniquement pour l’utilisation de l’application mobile téléchargée. De plus, lorsque dans un second temps, grâce à l’outil CMP la personne peut accepter ou refuser la collecte de ses données, ces actions ne sont pas différenciées selon que l’autorisation concerne l’affichage de publicités ciblées, ou l’élaboration d’un profil commercial à visée marketing.

Enfin, le fait que l’ensemble des finalités de collecte soient pré-acceptées par défaut lorsque l’utilisateur souhaite affiner ses préférences ne saurait aboutir à l’expression d’un consentement valide de la part de l’utilisateur dès lors que le RGPD impose que ce consentement doit être matérialisé par un acte positif.

En conséquence, la CNIL a mise en demeure la société Vectaury, sous un délai de trois (3) mois à compter de la notification de sa décision de :

  • Rétablir la base légale de ses traitements et recueillir, de manière effective, le consentement préalable, dans des conditions conformes aux dispositions du RGPD, des utilisateurs des applications éditées par les partenaires de la société VECTAURY comme celles des utilisateurs des applications dont proviennent des offres d’enchère en temps réel, au traitement de leurs données par cette dernière ;
  • Procéder à la purge des données obtenues sans consentement informé, spécifique et activement manifesté ;
  • Justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

La CNIL indique être disposé à clore cette mise en demeure si la société Vectaury s’y conforme dans les délais impartis. Dans la négative, un rapporteur sera désigné par la CNIL en vue de prononcer une sanction à son encontre.

A rapprocher : Applications mobiles : mises en demeure pour absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire (CNIL, 19 juillet 2018)

VOIR AUSSI

Le contrôle du temps de travail par la géolocalisation des salariés est-il légal ?

Cass. soc., 19 décembre 2018, n°17-14.631

- Vu : 530

"L'utilisation d'un système de géolocalisation pour assurer le contrôle de la durée du travail, laquelle n'est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation, n'est pas justifiée lorsque le salarié dispose d'une liberté dans l'organisation de son travail."

> Lire la suite

Bilan des obligations en matière de collecte de coordonnées téléphoniques et de démarchage

Articles L.223-1 et suivants du Code de la consommation

- Vu : 253

Bloctel impose au professionnel qui collecte des coordonnées téléphoniques d’informer la personne concernée de son droit à s’opposer au démarchage téléphonique. Cependant, en pratique, la mesure est encore peu appliquée.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 3094
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 2661
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 2595
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Protéger ses marques efficacement - 15 mai 2018 - Nantes
16 avril 2018 - Vu : 1503
SIMON ASSOCIÉS organise un petit-déjeuner sur le thème de la protection des marques le 15 mai 2018 à ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©