La CNIL met en demeure deux sociétés françaises gérant des mouchards publicitaires
La CNIL met en demeure deux sociétés françaises gérant des mouchards publicitaires
Par Damien Leloup
Les sociétés Teemo et Fidzup devront recueillir explicitement le consentement des internautes pour pouvoir suivre leurs déplacements.
Ils sont le plus souvent invisibles, mais omniprésents : la plupart des applications mobiles intègrent des « trackers ». Ces petits mouchards collectent des informations sur le téléphone, l’utilisation qui est faite de l’application... En général à des fins publicitaires.
Fin 2017, l’association Exodus privacy, qui analyse le contenu d’applications grand public pour en lister les mouchards, avait publié une première liste montrant que les applications en comptent en moyenne plus de deux. L’analyse du fonctionnement de ces SDK montrait que leur légalité pouvait être contestée.
Jeudi 19 juillet, la Commission nationale informatique et libertés (CNIL) a mis en demeure les éditeurs français de deux de ces trackers, les sociétés Teemo et Fidzup, pour divers manquements à la loi informatique et libertés. Les deux sociétés proposent des services comparables, dits de « web-to-store ». Le principe de cette technique de marketing est simple : il consiste à identifier, lors de leur navigation en ligne, des clients s’étant rendus physiquement dans une boutique, ou inversement. Les commerçants peuvent alors leur proposer des publicités ou promotions ciblées, par exemple lorsqu’ils passent à proximité d’une enseigne de la marque, ou en leur affichant des publicités en fonction de leur historique de déplacements.
Cette technique nécessite, pour fonctionner, de suivre quasiment en temps réel les déplacements des « futurs clients ». Or, la géolocalisation d’une personne est une information particulièrement sensible. Et Teemo la suivait à très grande échelle, a constaté la CNIL lors de ses contrôles. « La délégation a été informée que [le tracker de Teemo] collecte les données de géolocalisation des personnes environ toutes les cinq minutes. La délégation a constaté que, sur une journée, 1 635 402 identifiants publicitaires associés à des données de géolocalisation avaient été collectées par la société ». Fidzup, qui utilise une technologie différente, n’enregistre pas la géolocalisation de manière sytématique, mais la CNIL a constaté que « 5 962 383 identifiants publicitaires distincts avaient été collectés par la société ». L’entreprise commercialise des « bornes », placées dans les magasins, qui utilisent ces identifiants publicitaires pour détecter lorsqu’un internaute passe à proximité d’une boutique.
Absence de consentement suffisant
Pour que ces collectes massives d’informations soient légales, elles doivent répondre à des critères précis. Les contrôles de la CNIL ont montré que plusieurs obligations n’avaient pas été respectées par les deux sociétés. Le gendarme de la vie privée a jugé que Teemo n’avait pas recueilli le consentement des internautes de manière suffisamment claire, et que l’entreprise stocke par ailleurs trop longtemps les données de géolocalisation (treize mois). « La conservation de telles informations constitue un risque d’atteinte à la vie privée des personnes concernées. En effet, la Commission considère que l’utilisation des dispositifs de géolocalisation est particulièrement intrusive au regard des libertés individuelles, dans la mesure où ils permettent de suivre de manière permanente et en temps réel des personnes, aussi bien dans l’espace public que dans des lieux privés », note la CNIL.
De même, la Commission a considéré que le consentement des internautes n’avait pas été recueilli par Fidzup. Les deux sociétés ont donc été mises en demeure de se mettre en conformité avec la loi. En cas de nouveaux manquements, la CNIL peut prononcer des sanctions financières.
Sollicité par Le Monde, Teemo affirme avoir d’ores et déjà lancé des travaux de mise en conformité, tout en estimant ne pas avoir commis de manquements. « La RGPD [le nouveau réglement européen sur les données personnelles] manquait d’une interprétation claire depuis son entrée en vigueur le 25 mai, c’est maintenant chose faite. Cette publication fait foi pour tout l’écosystème visé. Nous acceptons qu’en tant qu’acteur référent du drive to store et de la data géolocalisée nous devons montrer l’exemple. Nos développements sont priorisés pour y répondre et nous sommes confiants sur l’issue positive de cette démarche. »