Après Teemo et Fidzup, la CNIL met en demeure la société Singlespot dans une affaire de ciblage publicitaire non consenti. Elle a 3 mois pour se mettre en conformité.

La Commission nationale de l’informatique et des libertés a une nouvelle cible dans le collimateur : Singlespot. Comme dans le cas des affaires Teemo (qui s’est terminée début octobre après une mise en conformité) et Fidzup (qui est toujours dans le viseur de l’autorité), ce sont deux points qui ont justifié la mise en demeure de Singlespot, annoncée ce mardi 23 octobre.

Le premier grief concerne un manquement à l’obligation de recueillir correctement le consentement du public sur les données personnelles provenant des outils techniques (SDK) mis à disposition de Singlespot. Les vérifications menées par la CNIL montrent que ce recueil de consentement, décrit comme valable par l’entreprise, ne l’est pas dans les faits.

« Les personnes ne sont pas systématiquement informées, lors du téléchargement des applications mobiles, qu’un SDK collecte leurs données de localisation », observe la CNIL. Le public n’est pas « informé ni de la finalité de ciblage publicitaire du traitement mis en œuvre, ni de l’identité du responsable de ce traitement » et, quand des indications sont apportées, elles le sont après la collecte et le traitement.

Problème : le consentement implique une information délivrée avant. Or, il s’avère que les applications mobiles utilisant ce SDK imposent parfois son activation, qui devient alors incontournable. Dès lors, à cause de cette intrication, « l’utilisation des applications a pour conséquence automatique la transmission de données à la société Singlespot ».

empreinte-suivi-pistage
Allégorie du pistage. // Source : Alex Wigan

Trois mois pour rentrer dans les clous

C’est d’autant plus embêtant qu’il a été relevé que le consentement recueilli « ne distingue pas l’utilisation des données de géolocalisation pour les fonctionnalités de l’application et pour l’affichage publicitaire ». Or, cette approbation n’était peut-être pas destinée à être aussi large. Dès lors, et malgré les tentatives d’ajustement de Singlespot, « les données sont toujours traitées sans le consentement des utilisateurs ».

Le second grief est un manquement à l’obligation de définition d’une durée de conservation. La CNIL a constaté que Sinslespot n’a tout simplement pas défini de durée de conservation. Il lui faudra donc en déterminer (et la justifier, surtout si elle est assez longue). Au passage, l’autorité administrative indépendante lui demande d’en assurer à la fois la sécurité, mais aussi la confidentialité.

Singlespot a désormais trois mois pour revenir dans la légalité, notamment dans le plein respect du Règlement général sur la protection des données. Ce délai écoulé, si rien n’a été fait pour corriger le tir, alors la CNIL pourra prononcer une sanction pécuniaire. De quoi tordre le bras à la société, si elle échoue à respecter la loi. Celle-ci a toutefois promis, dans un communiqué du 23 octobre, de rentrer dans les clous.

Expliquant « prendre très au sérieux cette notification de mise en demeure de la CNIL », Singlespot se dit « mobilisé […] pour mettre à jour notre logiciel et apporter les gages de
notre conformité », avec « les aménagements techniques nécessaires à cette procédure ». Et d’ajouter avoir « confiance en sa capacité à lever rapidement les doutes qui ont été exprimés ». Réponse dans trois mois.

(mise à jour avec la réaction de Singlespot)

Partager sur les réseaux sociaux