Accueil Actualités juridiques du village Droit des TIC, informatique, propriété intellectuelle Respect de la vie privée et protection des données personnelles

Que doit contenir une Consent Management Platform (CMP) et comment la paramétrer : Analyse de la décision de la CNIL du 30 octobre 2018.

Par Hugo Salard, Consultant.

Dans sa délibération en date du 30 octobre 2018, la Commission Nationale de l’Informatique et des Libertés (CNIL) met en demeure [1] la société Vectaury de recueillir le consentement des personnes au traitement de leurs données de géolocalisation à des fins de ciblage publicitaires opéré via le SDK déposé sur les applications mobiles des éditeurs.

Le SDK [2], très utilisé dans le secteur de la publicité en ligne sur application mobile, est un extrait de code fourni aux éditeurs d’application par une régie publicitaire mobile permettant de collecter des données personnelles, telle que la géolocalisation.

Comme la majorité des sociétés du secteur de la publicité programmatique, la société Vectaury s’est équipée d’une Consent Management Platform (CMP) pour gérer le consentement des utilisateurs au dépôt de SDK et autres identifiants. Pour rappel, une CMP est une plateforme technologique dédiée spécifiquement à la collecte et à l’enregistrement du consentement donné par les utilisateurs en matière de données personnelles. Concrètement, la CMP est une pop-up qui apparaît à la première connexion sur un site Internet pour collecter le consentement de l’internaute en matière de dépôt des cookies et autres identifiants, tel que le SDK. A court terme, la CMP remplacera le fameux "bandeau cookie" sur les sites Internet concernés.

Il s’agit d’un outil particulièrement utilisé pour assurer la conformité des acteurs du marché de la publicité en ligne puisque l’objectif de la CMP est aussi, et surtout, d’assurer la restitution et l’attestation des consentements à tous les partenaires de publicité utilisateurs des données collectées.

Dans sa mise en demeure du 30 octobre 2018, la CNIL relève :

  • Un manquement à l’obligation de recueil du consentement sur les données provenant des SDK ;
  • Un manquement à l’obligation de recueil du consentement sur les données provenant des offres d’enchère en temps réel d’espace publicitaire. "Les contrôles ont également permis de constater que le consentement des utilisateurs n’était pas recueilli avant que leurs données personnelles soient utilisées pour du profilage publicitaire. Les informations données à l’utilisateur n’expliquent pas que ses données seront utilisées pour ce système d’enchères en temps réel, ni qu’elles seront ensuite conservées en vue de la définition d’un profil commercial. Comme pour les SDK, la collecte des données est activée par défaut. Le système d’enchère d’espace publicitaire a permis à la société de recueillir plus de 42 millions d’identifiants publicitaires et les données de géolocalisation à partir de plus de 32.000 applications ."

Deux points essentiels à retenir de cette mise en demeure, s’agissant des CMP :

  • La CNIL réaffirme qu’un partenaire déposant un SDK sur l’application mobile pour collecter des données personnelles, telle que la géolocalisation des utilisateurs, est considéré comme Responsable de traitement ;
  • La CNIL indique ce que doit contenir ou non, une Consent Management Platform (CMP).

Ce dernier point est essentiel : en analysant la CMP Vectaury développée en partenariat avec l’IAB France [3], la CNIL donne des indications claires sur ce que doit faire figurer une CMP.

La CNIL rappelle que le consentement via une CMP doit être (1) informé, (2) spécifique et (3) se traduire par une action positive de l’utilisateur.

Selon la CNIL, une CMP devrait respecter les éléments suivants :

  • Informer de façon transparente et claire. Les termes complexes sont à proscrire.
  • Valablement informer de l’identité des sociétés par qui les données des utilisateurs seront traitées et qui auront, de ce chef, la qualité de responsable du traitement. Cette présentation implique que dès l’affichage de la première page , où figurent par exemple les boutons cliquables "J’accepte", "Je refuse" et "J’affine mes préférences" , l’utilisateur soit informé des destinataires de ses données, et que l’éventuel consentement qu’il donnerait en cliquant sur le bouton "J’accepte" soit un consentement informé.
  • Si une facilité d’utilisation peut être proposée par un bouton d’acceptation ou de refus global, cette fonctionnalité ne peut pas être présentée à l’utilisateur avant que les différentes finalités du traitement ne lui soient exposées, faute de quoi l’utilisateur donnerait un consentement global à plusieurs traitements qu’il ne connaît pas et pour lesquels un consentement spécifique n’a pas été sollicité. Par sa présentation même, la CMP (acceptation ou refus) doit indiquer l’existence de plusieurs traitements ou de plusieurs finalités.

L’autre solution pourrait donc consister à placer les boutons d’acceptation sur la seconde page, après la liste des destinataires de données. Une acceptation globale, sans même que l’utilisateur ne soit clairement informé de l’existence de plusieurs traitements ou de plusieurs finalités, ne saurait répondre au critère de spécificité du consentement exigé par le G29.

  • Dans l’onglet "Paramétrage" de la CMP, l’acceptation selon les différentes finalités ne doit pas être pré-acceptée par défaut. En effet, le fait que l’ensemble des finalités de collecte soient pré-acceptées par défaut ne saurait aboutir à l’expression d’un consentement de la part de l’utilisateur. En effet, son action n’est requise que pour s’opposer au traitement par le fait de décocher les cases correspondant aux différentes finalités.

Ainsi, par cette mise en demeure, la CNIL précise - pour la première fois - ce que doit contenir ou non une CMP. De telles indications, fortement utiles dans cette période de floue (Google n’ayant toujours pas intégré le Framework IAB [4]...), seront vraisemblablement d’une grande aide dans le paramétrage des CMP.

En tout état de cause, la CMP de Vectaury - élaborée en partenariat avec l’IAB France - ne semble pas satisfaire aux exigences de la CNIL en matière d’information et de consentement. Au regard du marché actuel, c’est le cas de nombreuses CMP...

Consultant confirmé en protection des données personnelles - CIL Consulting by TNP
Titulaire du CAPA
M2 Droit du Multimédia et de l’Informatique (Paris II) / SKEMA Business School

Voir tous les articles
de cet auteur et le contacter.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

50 votes

Notes :

[1N°MED-2018-042 du 30 octobre 2018.

[2Software Development Kit : ensemble d’outils d’aide à la programmation proposé aux éditeurs/développeurs d’applications mobiles.

[3IAB France : L’IAB France (Interactive Advertising Bureau) est une association et un réseau créée en 1998 dont la mission est triple : structurer le marché de la communication sur Internet, favoriser son usage et optimiser son efficacité.

[4Framework IAB Le Transparency and Consent Framework (Framework) propose des règles communes à adopter lors du traitement de données à caractère personnel ou de l’accès et / ou du stockage d’informations sur le terminal d’un utilisateur, tels que les cookies, les identifiants publicitaires, les identifiants de périphérique et autres technologies de tracking. Plus d’information ici.


Vos commentaires

Commenter cet article
  • Dernière réponse : 15 novembre 2018 à 15:45
    Le 12 novembre 2018 à 18:56 , par Romain Gauthier
    Précision

    La CMP Vectaury a simplement procédé à une des implémentations possibles du standard établi par l’IAB Europe (consent&transparency framework/advertisingconsent.eu). Ce standard est libre et ouvert. Certains acteurs (souvent juges et partis) peuvent aisément pousser son implémentation en dehors de l’esprit du standard qui a été pensé pour faciliter la diffusion des consentements de l’internaute dans la chaîne complexe des fournisseurs de technologies publicitaires. L’implémentation de Vectaury n’a pas été validée par l’IAB France ou par l’IAB Europe.

    Ce raccourci que vous prenez à plusieurs reprises dans votre article est abusif et porte malheureusement préjudice à la qualité du reste de votre analyse. Le standard de l’IAB Europe est neutre et constitue une réponse technique intelligente quoique certainement perfectible aux problèmes de consentement posés par le RGPD.

    • Le 15 novembre 2018 à 15:45 , par Hugo SALARD

      Bonjour,

      A aucun moment dans cet article, je n’indique que l’implémentation de la CMP Vectaury a été validée par l’IAB France ou par l’IAB Europe.

      J’écris seulement à deux reprises que "la CMP Vectaury [est] développée en partenariat avec l’IAB France" et "élaborée en partenariat avec l’IAB France".

      En aucun cas, il ne s’agit d’un raccourci, je me contente uniquement de citer la Décision de la CNIL qui indique "que la société a adhéré à l’Interactive Advertising Bureau (IAB) et a développé, en partenariat avec cette association de professionnels du marché de la publicité sur internet, un outil destiné à uniformiser les modalités de recueil du consentement via les SDK".

      Par ailleurs, cet article n’est ni une critique de la CMP Vectaury ni une remise en cause du standard de l’IAB (qui a le mérite de proposer - et de faire évoluer très rapidement - des solutions techniques) mais un simple constat de l’évolution de la position de la CNIL sur ses exigences en matière de consentement.

      Je serais ravi d’en discuter plus en détail avec vous.

      Cordialement,

      Hugo Salard