Qualifiée par la CNIL de « reine des données » dans l’environnement des smartphones, la géolocalisation est au cœur des préoccupations de l’autorité de contrôle française depuis plusieurs années. Il s’agit en effet de la donnée la plus collectée par les acteurs de l’écosystème des smartphones (30% des applications auraient eu accès à la localisation de leurs utilisateurs en 2016).
Face aux manquements réguliers des acteurs de la géolocalisation mobile, la politique de contrôle de la CNIL à leur égard s’intensifie.
Dans une décision rendue publique le 18 octobre, la CNIL a mis en demeure la société SINGLESPOT, startup spécialisée dans le ciblage publicitaire réalisé via des applications mobiles, pour manquement à plusieurs obligations en matière de protection des données personnelles.
La société SINGLESPOT utilise un outil technique « SDK« , intégré dans le code d’applications mobiles de ses partenaires, permettant de collecter des données personnelles, et notamment les données de géolocalisation des utilisateurs de manière régulière, afin d’afficher de la publicité ciblée sur leur smartphone en fonction des enseignes visitées.
À l’issue de son contrôle, la CNIL a notamment signalé :
SINGLESPOT a trois mois pour se conformer à la mise en demeure de la CNIL.
Cette mise en demeure s’inscrit dans une série de décisions de la CNIL concernant des opérateurs mobiles utilisant des systèmes de type SDK pour géolocaliser les utilisateurs de smartphones à des fins de ciblage publicitaire.
Le 19 Juillet 2018, les manquements de la société TEEMO en matière de recueil du consentement et de durée de conservation excessive des données de géolocalisation avaient déjà justifié une mise en demeure publique de la CNIL. TEEMO utilisait un SDK qui permettait la collecte d’informations, similaire au système mis en œuvre par SINGLESPOT. Cette mise en demeure a depuis été clôturée suite à l’adoption par TEEMO de mesures permettant aux utilisateurs de refuser expressément la collecte de leurs données de géolocalisation, tout en continuant à utiliser l’application.
La CNIL avait simultanément mis en demeure la société FIDZUP qui imposait également aux utilisateurs de la publicité ciblée à l’aide d’un système SDK, collectant cette fois non pas directement les données de géolocalisation, mais les identifiants publicitaires et l’adresse MAC, qui étaient ensuite croisés avec d’autres données collectées à l’aide de dispositifs techniques installée en points de vente.
À noter que ces procédures visent des prestataires de géolocalisation mobile, qui peuvent agir en qualité de sous-traitants, mais rien n’interdit que des donneurs d’ordre, annonceurs notamment, puissent être concernés.
