Publicités ciblées & performance des campagnes marketing : le SDK dans la ligne de mire de la CNIL !

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Counsel

Décision de la CNIL n°MED 2018-042 du 30 octobre 2018 mettant en demeure la société VECTAURY

La CNIL a saisi la société Vectaury, start-up spécialisée dans le ciblage publicitaire, lui reprochant d’exploiter des données d’utilisateurs de smartphones sans leur accord.

Cette année la CNIL est particulièrement vigilante en matière de traitements de données réalisés via des logiciels dénommés SDK. Ces outils sont intégrés dans le code d’applications mobiles permettant de collecter les données des utilisateurs des smartphones dont notamment l’identifiant publicitaire des smartphones et les données de géolocalisation des personnes en vue d’envoyer des publicités ciblées.

Ces données sont ensuite croisées avec des points d’intérêts (généralement des points de vente physiques), ce qui permet d’évaluer la performance d’une campagne marketing.

Depuis cet été, la CNIL a procédé à plusieurs contrôles sur place de plusieurs entités qui ont recours à ces outils, qu’il s’agisse d’éditeurs d’applications mobiles ou de prestataires offrant des services d’affichage de publicités ciblées et d’évaluation de la performance des campagnes marketing aux éditeurs d’applications.

Après le contrôle des sociétés TEEMO et FIDZUP ayant abouti à une mise en demeure de chacune d’elle en juillet dernier, puis de la société SINGLESPOT mise en demeure le 8 octobre 2018, la société Vectaury a, à son tour, fait l’objet d’un contrôle de l’autorité de contrôle et d’une mise en demeure le 30 octobre dernier.

Retour sur les manquements constatés.

  • Les faits

Vectaury est une société spécialisée dans la programmation informatique et notamment l’édition et la vente d’outils informatiques.

Elle affiche pour le compte de ses clients annonceurs des publicités sur les smartphones.

Elle a également pour activité de mesurer les visites des porteurs de smartphone dans les points de vente de ses clients.

A partir de données de géolocalisation, Vectaury détermine le profil de chaque utilisateur, déterminant ainsi les habitudes de leurs déplacements en vue de leur proposer de la publicité ciblée.

Le 23 mai 2017, la société a effectué auprès de la CNIL un engagement de conformité à la norme simplifiée no 48 portant sur les traitements relatifs à la gestion de clients et de prospects.

En application d’une décision du 30 mars 2018 de la Présidente de la Commission, une délégation de la CNIL a procédé à des missions de contrôle sur place auprès de la société Vectaury.

La lettre de mission du contrôle prévoyait notamment la vérification de la conformité à la loi Informatique et Libertés de l’ensemble des traitements de données à caractère personnel mis en œuvre par la société.

Afin de réaliser ses activités de profilage, la société a indiqué avoir développé un logiciel SDK, intégré par ses partenaires dans leurs applications mobiles et qui permet de collecter les données de géolocalisation ainsi que l’identifiant publicitaire mobile, le nom et la version de l’application mobile et le système d’exploitation utilisé (ANDROID ou IOS).

Les données collectées grâce à ce logiciel SDK sont ensuite croisées avec des points d’intérêts « POIs » déterminés avec ses clients annonceurs et qui correspondent à des coordonnées géographiques de lieux permettant de révéler un profil de consommateur, tels que des points de vente physiques.

Enfin et dans un troisième temps, Vectaury réalise des campagnes marketing à travers l’achat d’espaces publicitaires sur les plateformes de ventes aux enchères de publicités en temps réel. Ce système permet à des applications mobiles de trouver un annonceur pour afficher des publicités sur les espaces publicitaires qu’elle comprend.

Afin d’estimer la valeur de l’espace publicitaire pour ses clients et placer une enchère, les diverses données reçues de l’application où s’affichera la publicité sont transmise à Vectaury et conservée par elle.

En outre, dans le but de mesurer l’impact et la performance des campagnes marketing (c’est-à-dire la société vérifier si et combien d’utilisateurs ciblé par les publicités se sont rendus dans un point de vente physique) Vectaury analyse et recoupe les données collectées via le SDK et le système de demande d’enchère en temps réel.

Lors de ses opérations de contrôle, la délégation de la CNIL a constaté, sur plusieurs applications mobiles intégrant le SDK de la société Vectaury que, lorsque l’utilisateur d’un smartphone valide l’autorisation d’accès à ses données de géolocalisation pour le fonctionnement de l’application, ses données sont également transmises à la société Vectaury sans qu’il en soit spécifiquement informé et sans que son consentement ne soit recueilli pour cette transmission.

Ces données de géolocalisation ainsi que celles du système d’enchère sont ensuite conservées par la société Vectaury pendant douze mois à compter de la date de leur collecte.

Pour rendre sa décision, la CNIL s’est attachée dans un premier temps à qualifier le rôle de la société Vectaury, puis dans un second temps à vérifier la conformité des traitements mis en œuvre ou constater les manquements.

  • Sur la qualification de la société Vectaury

La CNIL retient que dans la mesure où la société Vectaury détermine dans une large mesure les finalités et les moyens des traitements mis en œuvre dans le cadre de l’utilisation du SDK et des dispositifs d’enchères de publicités en temps réel et que la société traite pour son propre compte les données à caractère personnel collectées pour vendre des services d’analyse ou de profilage auprès de ses clients, elle doit être qualifiée de Responsable de traitement.

  • Sur les manquements constatés

Le traitement des données de géolocalisation aux fins de marketing ciblé est fondé sur le consentement des personnes concernées.

La société Vectaury a indiqué à la Commission qu’elle propose aux éditeurs d’application une interface d’information visant à recueillir le consentement des utilisateurs.

La Société a également développé, en partenariat avec une association de professionnels du marché de la publicité sur internet, un outil destiné à uniformiser les modalités de recueil du consentement via les SDK dénommé Consent Management Provider (CMP).

Lorsque cet outil est implémenté dans une application, une première information au lancement de l’application est délivrée. Cette information s’accompagne d’un lien hypertexte renvoyant vers les politiques de confidentialité de l’application.

L’utilisateur a ensuite le choix entre accepter, refuser ou affiner ses préférences. Par défaut, si l’utilisateur choisi d’affiner ses préférences, la collecte des données est réputée acceptée par l’utilisateur. Pour refuser, l’utilisateur doit décocher l’ensemble des cases se rapportant aux différentes finalités de la collecte.

La CNIL a considéré que le mécanisme en place ne permet pas de répondre aux obligations en matière de consentement et notamment celles découlant du Règlement Général sur la Protection des Données Personnelles (RGPD).

En effet, il est apparu que ce consentement n’était pas informé dès lors que le texte de présentation adressé à l’utilisateur à la première ouverture de l’application ne présente pas la clarté requise en ce qu’il ne permet pas aux personnes concernées de comprendre précisément à quoi elles consentent. La CNIL relève que ce texte manque également de transparence et qu’il est rédigé dans des termes si flous qu’il peut induire en erreur les utilisateurs quant à la non-gratuité du service en cas de refus.

De plus, la CNIL a constaté que le consentement n’était pas spécifique puisque les personnes concernées sont amenées à valider l’autorisation de collecter leurs données de géolocalisation uniquement pour l’utilisation de l’application mobile téléchargée. De plus, lorsque dans un second temps, grâce à l’outil CMP la personne peut accepter ou refuser la collecte de ses données, ces actions ne sont pas différenciées selon que l’autorisation concerne l’affichage de publicités ciblées, ou l’élaboration d’un profil commercial à visée marketing.

Enfin, le fait que l’ensemble des finalités de collecte soient pré-acceptées par défaut lorsque l’utilisateur souhaite affiner ses préférences ne saurait aboutir à l’expression d’un consentement valide de la part de l’utilisateur dès lors que le RGPD impose que ce consentement doit être matérialisé par un acte positif.

En conséquence, la CNIL a mise en demeure la société Vectaury, sous un délai de trois (3) mois à compter de la notification de sa décision de :

  • Rétablir la base légale de ses traitements et recueillir, de manière effective, le consentement préalable, dans des conditions conformes aux dispositions du RGPD, des utilisateurs des applications éditées par les partenaires de la société VECTAURY comme celles des utilisateurs des applications dont proviennent des offres d’enchère en temps réel, au traitement de leurs données par cette dernière ;
  • Procéder à la purge des données obtenues sans consentement informé, spécifique et activement manifesté ;
  • Justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

La CNIL indique être disposé à clore cette mise en demeure si la société Vectaury s’y conforme dans les délais impartis. Dans la négative, un rapporteur sera désigné par la CNIL en vue de prononcer une sanction à son encontre.

A rapprocher : Applications mobiles : mises en demeure pour absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire (CNIL, 19 juillet 2018)

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…