Dans ces mises en demeure, trois entreprises utilisent un système dénommé « SDK » (ces outils sont intégrés dans le code d’applications mobiles de leurs partenaires), permettant de collecter les données des utilisateurs des smartphones même lorsque ces applications ne sont pas en fonctionnement.

Dans son analyse, la CNIL a considéré que les entreprises soumises au contrôle, déterminaient dans une large mesure les finalités et les moyens des traitements mis en œuvre dans le cadre de l’utilisation du SDK et des dispositifs d’enchères de publicités en temps réel (bid requests).

En effet, bien que les sociétés collectent les données à travers les applications de leurs partenaires commerciaux et qu’elles n’utilisent ces données que pour permettre de diffuser des campagnes publicitaires d’une marque, elles demeurent responsables de traitements.

Cette qualification des acteurs soumis au contrôle est une application attendue de la définition de responsable de traitement retenue par le RGPD [1] ainsi que par les avis du G29 [2] sur la question, les sociétés traitant pour leurs propres comptes, dans le but d’associer le consommateur à un profil publicitaire, les données à caractère personnel collectées par le SDK installé au sein des applications de leurs partenaires.

I) Le défaut de base légale justifiant la collecte des données : l’absence de consentement du consommateur.

Les entreprises concernées considéraient, à tort, que le traitement des données de géolocalisation aux fins de marketing ciblé était basé sur le consentement des personnes concernées.

Dans ce sens, les entreprises s’appuyaient sur les contrats passés avec les éditeurs d’applications mobiles partenaires, qui prévoyaient d’obtenir le consentement préalable des utilisateurs à l’accès aux données de géolocalisation stockées sur leur smartphone. L’entreprise Vectaury avait de plus mis en place un outil de recueil de consentement intitulé Consent Management Provider (CMP) destiné à uniformiser les modalités de recueil du consentement à travers son système de SDK.

1) Le recueil du consentement doit être effectué en amont et apporter toutes les informations nécessaires.

a) Le cas Teemo et Singlespot.

Si le choix de légitimité au traitement des données n’est pas critiqué par la CNIL, le mode de recueil du consentement est quant à lui vivement contesté par l’autorité. Ainsi, les entreprises Teemo et Singlespot se sont vu reprochaient l’absence de notification dans la collecte des données.

Lors de son enquête la CNIL a constaté que :
(i) L’information délivrée au sein des politiques de confidentialités des applications mobiles n’est accessible qu’après l’installation de l’application et du SDK (ce procédé a été jugé comme « déloyal » au regard des principes posés par le RGPD).

(ii) Lorsqu’un nouveau partenariat est conclu avec une société, si l’application est déjà installée dans le smartphone du mobinaute, aucune information n’est donnée quant à l’installation du SDK.

(iii) Le consentement formulé dans le bandeau d’information est trop général et non spécifique comme le requiert la réglementation (pour le cas TEEMO, l’information délivrée était la suivante : « Certaines informations sont partagées avec nos partenaires. En poursuivant votre navigation dans l’application, vous acceptez la collecte de ces données ».

b) Le cas Vectaury.

Afin de répondre aux exigences de clarté posée par le RGPD à l’égard des consommateurs, la société Vectaury a élaboré un CMP intégré aux applications par les éditeurs partenaires, élaborés en partenariat avec l’Interactive Advertising Bureau (IAB).

Cette plateforme de recueil de consentement décrit les finalités de traitement effectué par Vectaury le texte de présentation suivant : « Afin d’améliorer notre application et vous adresser du contenu et/ou des offres commerciales personnalisées, nos partenaires et nous-mêmes collectons vos données personnelles comme vos données de navigation ou votre position géographique. Cela nous permet également de vous offrir un accès gratuit à notre service et nous nous engageons à diffuser des publicités dont les formats sont non intrusifs [… ] ».

Malgré cet effort de mise en conformité, le texte du CMP manque de transparence quant aux choix pouvant être effectués par les consommateurs.

Selon l’autorité de contrôle le consentement n’est pas libre, car :
(i) L’utilisateur peut être trompé quant aux conséquences de son refus, la lecture à contrario du texte de présentation permettait de déduire que le refus du consommateur entraînerait un accès payant au service (« permet un accès gratuit ») ou une impossibilité d’utiliser l’application.
(ii) Les finalités sont présentées de manière trop vague, la CNIL prend pour exemple la définition de personnalisation mise en avant dans le CMP définit comme « collecte et traitement d’informations relatives à votre utilisation de ce service afin de vous adresser ultérieurement des publicités et/ou du contenu personnalisé dans d’autres contextes, par exemple sur d’autres sites ou applications. En général, le contenu du site ou de l’application est utilisé pour faire des déductions concernant vos intérêts, ce qui sera utile dans le cadre de sélections ultérieures de publicité et/ou de contenu ».

Les termes « dans d’autres contextes », « en général », « sélections ultérieures » sont imprécis en l’état et sont de nature trop générale, la CNIL impose une description détaillée des types de traitement effectués.

(iii) L’identité des sociétés par qui les données soint traitées reste floue, la CNIL estime que la figuration des partenaires dans un onglet ou une page qui n’est pas directement accessible par les utilisateurs, viole le principe d’information sur l’identité des responsables de traitement (en l’espèce, l’information n’était accessible qu’après avoir cliqué sur l’option affinée ses préférences du CMP).

(iv) Le procédé de CMP, consistant pour l’utilisateur à donnait un consentement global à plusieurs traitements qu’il ne connait pas et pour lesquels un consentement spécifique n’a pas été sollicité est non conforme. En l’espèce, l’ensemble des finalités de collecte étaient pré-acceptée par défaut et ne figurait pas directement sur la page, mais après l’apparition de plusieurs onglets.

II) Le consentement doit avoir été recueilli librement.

Lors de son enquête auprès des entreprises Teemo et Singlespot, l’autorité a constaté que l’utilisation de l’application ne pouvait pas se faire sans l’acceptation du SDK et donc sans la collecte de données. Alors que la collecte des données de géolocalisation n’est pas indispensable à l’utilisation des applications partenaires et donc rend le consentement illicite, car contraint puisque non libre. [3].

La solution adoptée ici par la CNIL est donc conforme aux préconisations du G29 dans son avis du 13 juillet 2011, qui définit un consentement éclairé comme une manifestation de volonté libre, spécifique et informé.

III) L’application des décisions de la CNIL aux acteurs de la publicité programmatique.

Afin de pouvoir se conformer aux textes et aux décisions de la CNIL, les acteurs de la publicité programmatique devront mettre en place un système de recueil du consentement, notamment sous la forme d’un CMP ou d’un bandeau d’information, distinct des CGU et de leurs politiques de confidentialité.

Dans ce sens, chaque partenaires commerciaux de l’éditeur de l’application ayant l’intention de traiter en qualité de responsable de traitement des données à ses propres fins aura besoin de recueillir un consentement de l’utilisateur et devra être mentionné dans la présentation du CMP ou du bandeau d’information.

Le système de recueil de consentement devra présenter les caractéristiques suivantes :
 Les informations essentielles devront être accessibles sur une seule page de présentation.
 Le texte contenant les informations devra détailler (outre les mentions classiques de durée de conservation, droits des personnes concernées…) avec précision toutes les finalités opérées par le traitement, à savoir permettre une meilleure expérience client, effectuer un ciblage publicitaire permettant de faire des offres dédiées, etc.
 Une présentation transparente des sociétés partenaires, et de leur rôle dans l’utilisation des données collectées.
 Cette présentation devra contenir des cases à cocher expressément (oui/non) pour accepter le traitement des données personnelles à des fins de publicité ciblée, la publicité géolocalisée ou l’implémentation d’un éventuel système de SDK.
 Qu’une option permettant de recueillir le consentement « à la carte » soit disponible, de type « je valide mes choix » ou « j’accepte mes préférences ».
 Un éventuel recueil de consentement global qui ne devra pas être pré-accepté par défaut (plus d’opt-out possible) et devra apparaître après la description des informations essentielles sur la finalité ainsi que l’identité des sociétés traitant les données.