Après vérification de la Commission de l’informatique et des libertés, cette dernière a décidé de mettre en demeure la société Singlespot de demander le consentement de ses utilisateurs sur le traitement de leurs données de géolocalisation. La start-up intègrerait des SDK publicitaires dans les applications de ses partenaires pour récupérer les données d’emplacement des clients sans que ces derniers n’en soient informés.
Singlespot a été fondée en 2015 par Thomas Opoczynski (en photo) et Alexandre Fortoul. (Crédit : D.R.)
La CNIL a mis en demeure la société Singlespot de recueillir le consentement des personnes au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire par le biais des applications mobiles. Bien que cette start-up, spécialisée dans le ciblage publicitaire, indique traiter ces données avec le consentement des personnes concernées, la CNIL a constaté que le consentement n’est pas valablement recueilli.
D’après l’autorité administrative indépendante, le manquement vient des données provenant des SDK. Ces bouts de code sont intégrés dans le code d’applications mobiles de leurs partenaires. Ils permettent de collecter les données des utilisateurs des smartphones même lorsque ces applications ne sont pas en fonctionnement. « Ce « SDK » permet de collecter l’identifiant publicitaire des smartphones et les données de géolocalisation des personnes, soit à des périodes de temps fixe (toutes les cinq minutes), soit selon la distance parcourue (tous les deux cents mètres) » précise la Commission dans un communiqué. « Ces données sont ensuite croisées avec des points d’intérêts déterminés par les partenaires (enseignes de magasins) afin d’afficher de la publicité ciblée sur les smartphones des personnes à partir des lieux qu’elles ont visités. »
3 mois pour se régulariser
D’après les vérifications de la CNIL, les utilisateurs d’applications ne sont pas systématiquement informés, lors du téléchargement, qu’un SDK collecte leurs données de localisation, ni de la finalité de ciblage publicitaire du traitement mis en œuvre, ni de l’identité du responsable de ce traitement. L’utilisateur ne peut pas télécharger l’application mobile sans activer le SDK non plus.
Enfin, la CNIL a constaté que, pour certaines applications, le consentement recueilli par le système d’exploitation du smartphone ne distingue pas l’utilisation des données de géolocalisation pour les fonctionnalités de l’application et pour l’affichage publicitaire. Au regard des manquements constatés, la présidente de la CNIL, Isabelle Falque-Pierrotin, a décidé de mettre en demeure la société Singlespot de se conformer à la loi « Informatique et Libertés » dans un délai de trois mois.