Applis mobiles et géolocalisation : Vectaury mis en demeure par la Cnil

|
Twitter Facebook Linkedin Google + Email Imprimer

La start-up, qui faisait l’objet d’un contrôle depuis plusieurs mois, a été épinglée pour absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire.

Matthieu Daguenet et Mokrane Mimouni (Vectaury)
Matthieu Daguenet et Mokrane Mimouni (Vectaury)© Vectaury

Et de quatre. Après Fidzup, Teemo et Singlespot, la start-up Vectaury est visée à son tour par la Cnil. La Présidente de la Commission Nationale informatique et Libertés a en effet annoncé le 9 novembre la mise en demeure de la société pour des manquements lors du recueil du consentement des personnes au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire par le biais des applications mobiles. "Les personnes ne sont pas systématiquement informées, lors du téléchargement des applications mobiles, qu'un SDK (Software Development Kit, NDLR) collecte leurs données de localisation, précise l’autorité dans son communiqué. Au moment de l'installation, l'utilisateur n'est informé ni de la finalité de ciblage publicitaire, ni de l'identité du responsable de ce traitement. L'information fournie dans les conditions générales d'utilisation des applications intervient après le traitement des données, alors que le consentement suppose une information préalable". Outre le consentement qui n'a pas été "valablement recueilli", la Cnil reproche donc à Vectaury de n’avoir pas expliqué le but de la collecte de ces datas. "Les informations données à l'utilisateur n'expliquent pas que ses données seront utilisées pour ce système d'enchères en temps réel, ni qu'elles seront ensuite conservées en vue de la définition d'un profil commercial", poursuit l’autorité administrative. 

Selon elle, le système d'enchère d'espace publicitaire a permis à la société de recueillir plus de 42 millions d'identifiants publicitaires et les données de géolocalisation à partir de plus de 32 000 applications. Pour la Cnil, "les traitements résultant des SDK et des offres d'enchère en temps réel présentent un risque particulier au regard de la vie privée. Ils sont en effet révélateurs des déplacements des personnes et de leurs habitudes de vie. De plus, ces traitements sont opérés sans que les personnes concernées n'en soient conscientes, et sans qu'elles puissent exercer les droits prévus par le RGPD". Concrètement, la technologie permettant le recueil de données personnelles destinées à des campagnes marketing et la réalisation des campagnes publicitaires sur mobile n'a pas été accompagnée d'une application rigoureuse de la réglementation relative à la protection des données personnelles.

Trois mois de délai

Comme pour ses concurrents, Vectaury dispose d’un délai de trois mois pour se mettre en conformité. La mise en place d’un système de recueil du consentement (Consent Management Provider - CMP) pour renforcer l'information n'a pas été jugée suffisante, ce dispositif n'étant pas systématiquement implanté dans les applications pour la Cnil. La start-up est également mise en demeure de supprimer les données qu'elle a "indûment" collectées. A noter que la société Teemo, dont la mise en demeure a été clôturée le 4 octobre dernier, a choisi quant à elle d'effacer l'ensemble des données collectées. Selon nos informations, une dizaine de pépites françaises spécialisées dans la data de géolocalisation font actuellement l'objet d'un contrôle de la Cnil.

Fondée en 2014 par Matthieu Daguenet et Mokrane Mimouni, Vectaury croise de la data sur les déplacements des consommateurs avec les informations cartographiques des lieux visités de manière à dresser profil de géolocalisation de chacun d’entre eux pour aider les retailers à mieux comprendre qui sont leurs clients, et à terme augmenter le trafic en magasin et optimiser le pilotage de leurs points de vente. La start-up, qui vient de lever 20 millions d’euros, précise de son côté que "les demandes de la Cnil sur le consentement font déjà partie de la roadmap de Vectaury qui présente un processus documenté et structuré de recueil du consentement avec le lancement de sa fonctionnalité d’Opt’In (janvier 2018) et sa Consent Management Platform (juillet 2018) construite suivant le framework (modèle standard) IAB utilisé par la majorité des acteurs du marché".

Testez LeMoniteur.fr en mode abonné. Gratuit et sans engagement pendant 15 jours.
 
Suivre LSA Suivre LSA sur facebook Suivre LSA sur Linked In Suivre LSA sur twitter RSS LSA