Ils sont le plus souvent invisibles, mais omniprésents : la plupart des applications mobiles intègrent des « trackers ». Ces petits mouchards collectent des informations sur le téléphone, l’utilisation qui est faite de l’application… En général à des fins publicitaires. Fin 2017, l’association Exodus Privacy, qui analyse le contenu d’applications grand public pour en lister les mouchards, avait publié une première liste montrant que les applications en comptent en moyenne plus de deux. L’analyse du fonctionnement de ces SDK montrait que leur légalité pouvait être contestée.

Ce que confirme la Commission nationale informatique et libertés (CNIL) dans ses dernières décisions. Vendredi 9 novembre, le gendarme des données personnelles a rendu publique sa mise en demeure d’un éditeur français de ces trackers, Vectaury, lui reprochant d’exploiter des données d’utilisateurs de smartphones sans accord clair de leur part.

Cette société est la quatrième de ce type visée par la CNIL depuis l’entrée en vigueur du nouveau Règlement européen sur la protection des données (RGPD), le 25 mai dernier. La CNIL a déjà épinglé en juillet les sociétés Fidzup et Teemo, et en octobre la société Singlespot. Teemo a déjà régularisé sa situation. Vectaury a trois mois pour se mettre en conformité dans le recueil des consentements, faute de quoi elle risque une sanction de la CNIL.

« 42 millions d’identifiants publicitaires »

Vectaury intègre des morceaux de code – des « SDK », en jargon informatique – dans les applications pour mobile distribuées par ses sociétés partenaires. Ces SDK lui permettent de collecter, même lorsque les applications ne fonctionnent pas, l’identifiant publicitaire des smartphones et des données de géolocalisation, récupérés par le biais des trackers mis en place dans les applications, par exemple, celle de Météo France. Ils permettent ainsi de lier l’activité en ligne et hors ligne en proposant des publicités ciblées basées sur les déplacements, et donc de les afficher sur l’écran des smartphones.

« Notre métier, c’est de collecter des données GPS sur les smartphones, puis de les traiter dans notre base de données, pour savoir combien de personnes sont venues en point de vente après avoir vu une publicité », expliquait au Monde Matthieu Daguenet, le PDG de Vectaury, en novembre 2017.

La CNIL, dans son communiqué, a relayé les propos de Vectaury, qui « indique traiter ces données avec le consentement des personnes concernées ». « Toutefois, les vérifications de la CNIL ont permis de constater que le consentement n’est pas valablement recueilli », a-t-elle ajouté. La CNIL reproche aussi à Vectaury d’exploiter sans consentement valable des données d’internautes recueillies lors des offres d’enchères publicitaires en temps réel. Vectaury a ainsi recueilli « plus de 42 millions d’identifiants publicitaires et les données de géolocalisation à partir de plus de 32 000 applications », a indiqué la CNIL.

Trois mois pour se mettre en conformité

Pour échapper à la sanction, Vectaury devra mettre en place des demandes de consentement valables sous trois mois, mais aussi « supprimer les données indûment collectées », a précisé l’institution publique.

« Nous accueillons les demandes de la CNIL avec sérieux mais sans appréhension (...). Nous répondrons dans les prochains jours aux demandes de l’action de la CNIL et ainsi achèverons notre process de mise en conformité » a estimé Matthieu Daguenet, le PDG de Vectaury, dans un communiqué de l’entreprise de ciblage publicitaire publié peu après la sanction.

Vectaury est emblématique des start-up qui prospèrent sur l’exploitation commerciale des données des internautes. Fondée en octobre 2014, elle emploie environ 70 personnes mais compte rapidement doubler ses effectifs, après une levée de fonds de 20 millions d’euros début octobre. Vectaury revendique de « travailler avec plus de 100 marques et agences, avec la capacité de toucher plus de 25 millions de profils qualifiés en France ».

Comprendre le RGPD en cinq questions
Durée : 03:28