{"id":6678,"date":"2018-11-10T14:56:06","date_gmt":"2018-11-10T13:56:06","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog?p=6678"},"modified":"2019-04-22T13:46:12","modified_gmt":"2019-04-22T11:46:12","slug":"rgpd-cnil-singlespot","status":"publish","type":"post","link":"http:\/\/www.ab-consulting.fr\/blog\/gdpr\/rgpd-cnil-singlespot","title":{"rendered":"RGPD – La CNIL ordonne l’effacement de 14 millions d’enregistrements"},"content":{"rendered":"

La soci\u00e9t\u00e9 SINGLESPOT produit une solution technique permettant aux d\u00e9veloppeurs d\u2019applications mobiles de mon\u00e9tiser leur applications gr\u00e2ce \u00e0 de la publicit\u00e9 cibl\u00e9e. Le 26 Mai 2018, dans le cadre du RGPD (GDPR)<\/a>, cette soci\u00e9t\u00e9 est l’objet d’un contr\u00f4le par la CNIL. Celle-ci met alors en demeure SINGLESPOT d’effacer 14 millions d’enregistrements de donn\u00e9es personnelles.<\/em><\/p>\n

\"RGPD
Cr\u00e9dit \u00a9 rawpixel 2018<\/figcaption><\/figure>\n

C’est le premier contr\u00f4le de la CNIL r\u00e9alis\u00e9 depuis l’entr\u00e9e en vigueur des sanctions pr\u00e9vues par le RGPD. Mais Singlespot est la troisi\u00e8me start-up du secteur du marketing mobile \u00e0 \u00eatre mise en demeure par la CNIL cette ann\u00e9e. Celle-ci souhaite informer le public sur l’utilisation de technologies s’appuyant sur la g\u00e9olocalisation des t\u00e9l\u00e9phones portables.<\/p>\n

Les grands groupes ne sont pas les seuls concern\u00e9s par la protection des donn\u00e9es personnelles. Pr\u00e8s de cinq mois apr\u00e8s l’entr\u00e9e en vigueur du RGPD, les start-ups sont, elles aussi, surveill\u00e9es de pr\u00e8s par la CNIL. \u00ab Les entreprises sont toutes concern\u00e9es, \u00e0 partir du moment o\u00f9 elles g\u00e8rent une quantit\u00e9 importante de donn\u00e9es \u00bb<\/i>, rappelle Mathias Moulin<\/strong>, directeur de la protection des droits et des sanctions \u00e0 la CNIL.<\/p>\n

Apr\u00e8s Teemo et Fidzup, Singlespot<\/strong> est la troisi\u00e8me start-up utilisant des donn\u00e9es de g\u00e9olocalisation \u00e0 des fins publicitaires \u00e0 \u00eatre mise en demeure par la CNIL. Alors que la proc\u00e9dure li\u00e9e \u00e0 Teemo a \u00e9t\u00e9 cl\u00f4tur\u00e9e, celle li\u00e9e \u00e0 Fidzup est toujours en cours. De son c\u00f4t\u00e9, Singlespot dispose de trois mois<\/strong>, \u00e0 compter du 23 octobre, pour se mettre en conformit\u00e9 avec le RGPD. A d\u00e9faut, la soci\u00e9t\u00e9 s’expose \u00e0 des sanctions financi\u00e8res importantes.<\/p>\n

Pourquoi rendre public le cas de Singlespot?<\/h2>\n

Nul doute que ce n’est pas la seule organisation \u00e0 avoir \u00e9t\u00e9 contr\u00f4l\u00e9e par la CNIL depuis le 25 Mai 2018. Pourtant toutes les infractions, pas plus que toutes les mises en demeure ne sont pas rendue publiques.<\/p>\n

La d\u00e9lib\u00e9ration du bureau de la CNIL, dat\u00e9e du 18 octobre 2018 explique clairement les raisons de cette publicit\u00e9. Le bureau estime que la publicit\u00e9 de la d\u00e9cision de mise en demeure se justifie par les caract\u00e9ristiques des manquements. Alors quels sont ces manquements si graves qui justifient cette d\u00e9cision?<\/p>\n

Les constats effectu\u00e9s par la CNIL<\/h3>\n

La soci\u00e9t\u00e9 SINGLESPOT s\u2019appuie sur une technologie d\u00e9nomm\u00e9e SDK afin de collecter des donn\u00e9es \u00e0 caract\u00e8re personnel via les smartphones et d\u2019effectuer des campagnes publicitaires mobiles aupr\u00e8s des personnes.<\/p>\n

\u00c0 l\u2019occasion de ses investigations, la CNIL a constat\u00e9 que la soci\u00e9t\u00e9 collecte des donn\u00e9es de g\u00e9olocalisation. Et elle le fait sans recueillir le consentement des personnes<\/strong>. Un tel traitement constitue, de fait, un risque particulier au regard de la vie priv\u00e9e. En effet, il r\u00e9v\u00e8le les d\u00e9placements des personnes et leurs habitudes de vie.<\/p>\n

Le bureau de la CNIL indique \u00e9galement que le nombre massif de personnes susceptibles d\u2019\u00eatre impact\u00e9es par le traitement mis en \u0153uvre par la soci\u00e9t\u00e9 SINGLESPOT constitue une justification pour la publicit\u00e9 de cette d\u00e9cision. En effet, le SDK est int\u00e9gr\u00e9 \u00e0 des dizaines d\u2019applications mobiles et une partie importante de la population poss\u00e8de un smartphone. \u00c0 cet \u00e9gard, le bureau rel\u00e8ve que le SDK install\u00e9 sur les applications collecte les donn\u00e9es de g\u00e9olocalisation des personnes environ toutes les cinq minutes.<\/strong> De plus, il a \u00e9t\u00e9 constat\u00e9 par la d\u00e9l\u00e9gation de la CNIL que plus de 5 millions d’identifiants avaient \u00e9t\u00e9 collect\u00e9es par la soci\u00e9t\u00e9.<\/p>\n

Les raisons profondes de cette publicit\u00e9<\/h3>\n

Le bureau estime, que, vu la gravit\u00e9 des faits constat\u00e9s, il est du devoir de la CNIL de mettre les personnes concern\u00e9es en mesure de conserver le contr\u00f4le de leurs donn\u00e9es. Cet objectif ne saurait \u00eatre atteint qu\u2019en assurant le plus haut niveau de transparence sur la collecte des donn\u00e9es, notamment de g\u00e9olocalisation, et la finalit\u00e9 du traitement mis en \u0153uvre par la soci\u00e9t\u00e9 SINGLESPOT.<\/p>\n

Enfin, la CNIL dont on conna\u00eet le manque de moyens, souhaite sensibiliser les professionnels du secteur. Cette sensibilisation est d’autant plus importante que la collecte de donn\u00e9es \u00e0 caract\u00e8re personnel \u00e0 des fins de profilage et de ciblage publicitaire, notamment \u00e0 partir des lieux fr\u00e9quent\u00e9s par les personnes, conna\u00eet une forte croissance. De plus, l\u2019utilisation de tels m\u00e9canismes s\u2019inscrit dans un \u00e9cosyst\u00e8me faisant intervenir plusieurs acteurs. Il s’agit en particulier des \u00e9diteurs d\u2019applications mobiles et des clients annonceurs. Il est donc essentiel de les alerter sur les enjeux de la protection des donn\u00e9es personnelles des clients.<\/p>\n

Le bureau de la CNIL rappelle que cette mise en demeure ne rev\u00eat pas le caract\u00e8re d\u2019une sanction. \u00c0 ce titre, aucune suite ne sera donn\u00e9e \u00e0 la proc\u00e9dure si l\u2019organisation se conforme en tout point aux exigences de la mise en demeure dans le d\u00e9lai imparti. Si tel est le cas, celle-ci fera l\u2019objet d\u2019une cl\u00f4ture qui sera \u00e9galement rendue publique.<\/p>\n

Les faits constat\u00e9s par la CNIL<\/h2>\n

L’activit\u00e9 de l’entreprise<\/h3>\n

La mise en demeure adress\u00e9e par la CNIL \u00e0 la soci\u00e9t\u00e9 SINGLESPOT<\/a> r\u00e9v\u00e8le le d\u00e9tail des faits constat\u00e9s lors des investigations.<\/p>\n

La particularit\u00e9 de la solution technique mise en place, du point de vue RGPD, tient \u00e0 ce que la soci\u00e9t\u00e9 \u00e9tablit des profils de consommateurs g\u00e9olocalis\u00e9s. Elle peut ainsi suivre les utilisateurs au long de leurs d\u00e9placements et leur proposer des publicit\u00e9s en fonction de leur localisation. \u201cSont ainsi, par exemple, cibl\u00e9s les mobinautes s\u2019\u00e9tant rendus dans des magasins concurrents et ceux ayant visit\u00e9 le magasin d\u2019un client au cours des 15 derniers jours\u201d<\/em>.<\/p>\n

Les donn\u00e9es collect\u00e9es \u00e9taient les suivantes : l\u2019identifiant publicitaire mobile, le nom et la version de l\u2019application mobile et le syst\u00e8me d\u2019exploitation utilis\u00e9 (ANDROID ou IOS).<\/em> Ces donn\u00e9es \u00e9taient ensuite crois\u00e9es avec des points d\u2019int\u00e9r\u00eats, d\u00e9termin\u00e9s par les annonceurs (ex: boutiques concurrentes) afin de qualifier le profil de l\u2019utilisateur pour le ciblage publicitaire souhait\u00e9<\/em>.<\/p>\n

Le constat r\u00e9alis\u00e9 par la CNIL<\/h3>\n

La d\u00e9l\u00e9gation de la CNIL a pu constater que la collecte des donn\u00e9es de g\u00e9olocalisation des personnes \u00e9tait op\u00e9r\u00e9e :<\/p>\n