La CNIL a mis en demeure la société Singlespot le 8 octobre 2018 de se mettre en conformité avec le RGPD. C’est le 29 mai 2018, à savoir quelques jours après l’entrée en application du RGPD, qu’une délégation de la CNIL a effectué une mission de contrôle auprès de la société Singlespot, de sorte à s’assurer qu’elle se conformait aux nouvelles dispositions relatives à la protection des données personnelles.

Cette société, spécialisée dans la programmation informatique, avait mis en œuvre un traitement portant création de segments d’audiences aux fins d’établir des profils de mobinautes pour leur adresser de la publicité ciblée sur leurs ordiphones. Le logiciel « SDK », ainsi déployé par ses soins, permettait la collecte des données de géolocalisation.

Le contrôle a permis de relever la présence, dans la base de données de la société, de 14.344.670 identifiants publicitaires, dont 5.529.383 associés à des données de géolocalisation. Chacun des identifiants publicitaires étant directement lié à l’ordiphone d’une personne ayant téléchargé l’application de l’un des partenaires de la société, les données des intéressés étaient directement transmises à Singlespot, sans information spécifique ni recueil de leur consentement.

Après avoir retenu la qualification de responsable de traitement de la société Singlespot du fait de son rôle actif dans la détermination des finalités et des moyens de ces traitements, la CNIL a relevé des manquements aux dispositions relatives à la protection des données à caractère personnel, à savoir :

 L’absence de base légale en raison du défaut de consentement conforme.

La société avait mentionné dans le registre transmis à la CNIL que le traitement des données de géolocalisation aux fins de ciblage publicitaire était fondé sur le seul consentement des intéressés. La CNIL a considéré ce consentement non conforme car ni informé, ni spécifique, ni univoque. En conséquence, le traitement était dépourvu de base légale.

 Un manquement à l’obligation de définir et de respecter une durée de conservation proportionnée à la finalité du traitement.

La conservation des données de géolocalisation, pendant treize mois, et de la table de profils constitués à partir de données collectées, notamment lors des déplacements et visites des intéressés, bien après le terme du projet, a été considérée excessive par la CNIL.

 Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données.

L’autorité de contrôle a enfin relevé que le défaut de mots de passe suffisamment solides dans le compte administrateur et la réalisation de tests de développement à partir de données réelles, constituaient un manquement à l’obligation générale de sécurité et de confidentialité des données.

Relevant ces trois manquements, la CNIL a mis en demeure la société de mettre en place des mesures correctives adaptées dans un délai de trois mois.
Si la société ne fonde pas le traitement des données de géolocalisation à des fins de ciblage publicitaire sur une base légale, en l’espèce un consentement valide, elle doit supprimer l’ensemble desdites données collectées.

Cette délibération n’est pas sans rappeler les délibérations 2018-022 et 2018-023 du 25 juin 2018 [1], à l’occasion desquelles la CNIL relevait le défaut de base légale de traitements mis en œuvre par deux sociétés, en raison du consentement non conforme des intéressés au traitement de données de géolocalisation.
Cependant, au vu des réponses apportées très rapidement par Teemo, l’une des deux sociétés, et des mesures correctives mises en place, à savoir le déploiement de bannières en amont de la collecte des données permettant de recueillir un consentement libre, spécifique et éclairé, l’information sur la possibilité de retirer à tout moment leur consentement et une information complète, notamment sur les droits des intéressés et les durées de conservation des données, la présidente de la CNIL a décidé de procéder à la clôture de la procédure.

Aussi, face à une mise en demeure dont on rappellera qu’elle n’est pas une sanction de la CNIL, il est important de mettre en place, dans les meilleurs délais, des mesures correctives effectives et adaptées… et d’en informer la CNIL.

Consulter la mise en demeure de la Cnil du 8 octobre 2018.

Claudia Weber, avocat Fondateur & Odile Jami-Caston, Directrice du Pôle "Protection des données personnelles" ITLAW Avocats - www.itlaw.fr