Accueil Actualités juridiques du village Droit des TIC, informatique, propriété intellectuelle Respect de la vie privée et protection des données personnelles

19.939.922 smartphones utilisés comme identifiants publicitaires en violation de la loi du 6 juin 1978.

Par Philippe Schmitt, Avocat.

Pour leur ciblage publicitaire, deux sociétés viennent de voir publiées le 19 juillet 2018 sur Légifrance les mises en demeure que leur a adressées la CNIL de se conformer aux dispositions de la loi du 6 janvier 1978. Certes les faits reprochés ont été constatés avant l’entrée en vigueur du règlement général sur la protection des données et de la loi du 20 juin 2018 sur la protection des données personnelles, mais ces deux décisions apportent de précieux enseignements pour l’application des nouvelles dispositions au ciblage publicitaire.

Des identifiants publicitaires installés dans des téléphones mobiles lors du téléchargement d’applications mobiles constituent des données personnelles.

Pour collecter ces données d’identifiants des smartphones , 13.977.539 pour l’une, et 5 962.383 pour l’autre, ces sociétés ont eu recours à des traceurs installés dans des applications mobiles éditées par des partenaires contractuels, que les utilisateurs installaient sur leurs téléphones, Ces traceurs utilisaient des données de géolocalisation des smartphones et un identifiant matériel de ceux-ci., autrement dit, un identifiant publicitaire unique par téléphone. L’une des sociétés croisait ces données avec des données provenant de dispositifs installés dans les points de vente de ses clients pour envoyer une annonce publicitaire sur le smartphone en fonction de sa proximité avec ces lieux de vente. L’autre société déterminait avec ses clients des points d’intérêt définis par leurs coordonnées géographiques, par exemple, des lieux de vente physiques, qu’il s’agisse comme le souligne la décision de la CNIL, des magasins du partenaire ou des magasins concurrents, pour envoyer une annonce publicitaire ciblée. Pour l’une de ces sociétés, la CNIL relève que les traceurs collectaient les données de géolocalisation des personnes environ toutes les cinq minutes ce qui sur une journée représentaient 1 635 402 d’identifiants publicitaires de téléphones mobiles.

Dans les deux cas, la CNIL a considéré cet identifiant publicitaire comme une donnée personnelle puisqu’il permet d’identifier de manière pérenne l’utilisateur de façon indirecte et qu’il suit ses déplacements.

De tels identifiants publicitaires nécessitent de la part de l’utilisateur du téléphone un consentement antérieur à leur installation, un consentement spécifique à la géolocalisation publicitaire et doivent pouvoir être dissociés de l’application mobile qui les téléchargent.

Ces deux sociétés font l’objet d’une mise en demeure de la CNIL malgré leurs dispositions contractuelles qui mettaient à la charge de leurs partenaires l’information des utilisateurs sur la collecte de ces données. Pour la CNIL, la mise en place d’une bannière lors de la première connexion des utilisateurs ne permet pas d’assurer l’information systématique d’autant plus qu’elle est tardive puisque cet affichage n’intervient qu’après l’installation de l’application et du traceur et que leur identifiant publicitaire et les données de localisation sont déjà collectées via ce traceur.

Autre grief de la CNIL pour contester qu’un consentement libre au traitement ait été fournis par l’utilisateur du téléphone, les applications ne pouvaient pas être téléchargées sans le traceur.

Troisième grief, les utilisateurs ne donnaient pas de consentement spécifique, c’est dire l’absence de consentement à la finalité du traitement. Si les utilisateurs validaient l’autorisation de la collecte de leurs données y compris de localisation, celle-ci n’était donnée que pour l’utilisation de l’application mobile téléchargée, ce consentement n’est donc pas fourni au traitement de leurs données à des fins de ciblage publicitaire, le cas échéant géolocalisé.

L’exploitation de tels identifiants même pour la publicité est particulièrement intrusive au regard des libertés individuelles, ce qui en limite la durée de conservation.

Autre point dont l’importance est encore plus grande avec les nouvelles dispositions, la durée de conservation proportionnée à la finalité du traitement. L’une de ces sociétés a tenté de justifier la conservation de ces données sur une durée de 13 mois au motif que certains de ses partenaires travaillent dans le secteur du voyage, ce que refuse la CNIL pour laquelle l’utilisation des dispositifs de géolocalisation « est particulièrement intrusive » au regard des libertés individuelles.

En rendant publiques ces deux décisions, la CNIL met en garde les annonceurs même s’ils ne sont pas qualifiés de responsables de ces traitements.

Ces deux décisions retiennent contre les deux sociétés la qualification de responsable du traitement parce qu’elles déterminent dans une large mesure les finalités et les moyens de traitement mis en œuvre dans le cas de l’utilisation du traceur et qu’elles utilisent pour leur propre compte les données à caractère personnel collectées au sein des applications de leurs partenaires. Dans les deux cas également, la CNIL relève que les données collectées sont intégrées dans les bases de données de ces sociétés.

A relever dans une seule de ces deux décisions, l’exigence pour le responsable du traitement d’imposer contractuellement des obligations de sécurité et de confidentialité au sous-traitant qui héberge la base de données.

Comme le rappelle la CNIL, si ses deux mises en demeure ne constituent pas des sanctions, cette commission a ordonné de les rendre publiques afin de « mettre les personnes concernées en mesure de garder le contrôle de leurs données » et pour alerter les éditeurs d’applications mobiles et les clients annonceurs sur les enjeux de la protection des données. Voilà qui est fait.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

13 votes