• Rejoignez-nous sur Google+
  • Flux RSS Flux RSS

La CNIL met en demeure deux sociétés pour pistage publicitaire abusif

La CNIL met en demeure deux sociétés pour pistage publicitaire abusif

La CNIL vient de mettre en demeure deux sociétés pour avoir traiter les données de géolocalisation d'utilisateurs afin de réaliser du ciblage publicitaire sans leur consentement. 

MISE A JOUR 

La société Fidzup nous a fait parvenir un droit de réponse le lendemain de la parution de cet article. Nous nous permettons donc de relayer la déclaration d'Olivier Magnan-Saurin, CEO et co-fondateur de Fidzup. 

« Nous travaillons sur l'évolution de notre méthode de récolte du consentement depuis le début de l'année 2017. La mise en demeure publiée ce jour date d'un contrôle effectué à l'été 2017, moment où ce travail n'était pas encore finalisé et où nous considérions intervenir en tant que sous-traitant de nos partenaires éditeurs. Nous proposions alors le pop-up en option et ne l’imposions pas à nos partenaires.

Depuis Fidzup a terminé le nouveau pop-up de récolte du consentement demandé par la CNIL et l'a prescrit à 100% de ses éditeurs partenaires. Nous allons donc notifier la CNIL en ce sens et sommes confiants sur une issue rapide et positive.

Par ailleurs cette mise en demeure fait suite à un contrôle plus global de nos activités, qui se trouvent donc validées dans leur ensemble sous réserve de cette demande de pop-up de la CNIL. Nous sommes ravis de cette clarification du régime juridique applicable, que nous sollicitions depuis longtemps. »

Olivier Magnan-Saurin, CEO de Fidzup

Nous vous communiquerons ultérieurement la réaction de la CNIL concernant cette déclaration. 

TEEMO, ou la géolocalisation abusive

Les sociétés FIDZUP et TEEMO utilisaient la technologie "SDK" pour receuillir les informations de géolocalisation des utilisateurs de leurs applications. Directement intégrés dans le code de l'appli, ces outils collectent ces données sur les smartphones des utilisateurs qui ont installé l'application, même lorsque les applications ne sont pas ouvertes dans l'appareil. 

Toutes les 5 minutes, ces SDK collecte la position de l'appareil pour TEEMO, et évidemment, l'utilisateur ne le sait pas, et ne peut pas non plus télécharger son application sans télécharger en même temps l'outil espion.

En outre, TEEMO s'est permis de garder stockées ces données pendant 13 mois, une durée bien plus longue que la limite autorisée par rapport à leur utilisation. 

FIDZUP, votre partenaire pub 

Le procédé de FIDZUP est plus complexe. L'outil SDK est intégré dans des applications mobiles de partenaires à la société FIDZUP. Dans le même temps, les points de ventes de ces partenaires s'équipent d'un autre outil, un FIDBOX, qui permet de traiter des infos du même type que celles collectées par le SDK (les identifiants publicitaires mobiles et l'adresse MAC de l'appareil). 

En croisant les informations, cette technologie permet à FIDZUP de détecter des utilisateurs ciblés qui passeraient à proximité d'une boutique partenaire, afin de lui envoyer de la publicité géolocalisée et ciblée.  

Là encore, pas moyen de télécharger l'application sans le SDK, et, si l'utilisateur est bien prévenu de la collecte de ses données, il n'a accès à cette information qu'une fois avoir téléchargé l'appli, en fouillant dans les conditions générales d'utilisation. Il n'est pas prévenu, et encore moins consulté : après tout, qui ne dit mot consent.

Une liste de manquements conséquente

La CNIL a dressé une liste assez compromettante de manquement aux nouvelles règles en vigueur depuis mai concernant l'exploitation des données des résidents européen (le RGPD). Ces deux sociétés n'ont pas prévenu leurs utilisateurs avant qu'ils ne téléchargent ces applications voire pas du tout, ils ne leur ont pas demandé leur consentement, voire se sont permis de conserver leurs données pour une durée non réglementaire

La Présidente de la CNIL vient donc de mettre en demeure FIDZUP et TEEMO. Ils ont trois mois pour se conformer à la loi "Informatiques et Libertés" ainsi qu'au RGPD. Ces sociétés devront se conformer aux lois en vigueur, en mettant en place un moyen de recueillir le consentement des utilisateurs, de les informer de la nature des données récoltés, de leur durée de conservation par la société et de leur traitement, etc.

Dans le cas où les deux sociétés ne tiennent pas les délais, la Présidente pourrait se voir contrainte de réunir la formation restreinte de la CNIL pour choisir une sanction adéquate à chacune d'elles. 

Quelques rappels sur les règles conservant vos données : 

  • Vous devez être informé de l'intention d'une société d'utiliser vos données
  • Vous devez savoir quelles données seront utilisées
  • Vous devez savoir pour quelles raisons ces données seront exploitées
  • Les données exploitées doivent être cohérentes par rapport à la finalité du traitement (par question de récupérer vos photos pour vous envoyer des publicités ciblées)
  • Vous devez accepter que ces données soient utilisées par la société
  • La société doit conserver ces données dans un espace adapté au degré de sensibilité des informations recueillies, et en garantir la sécurité. 
  • La société ne peut pas revendre vos données
  • La société est responsable de vos données et de leur utilisation
  • La société ne peut les garder que pour une durée déterminée : une fois le traitement annoncé de ces données effectué, elle doit supprimer ces données
  • Si vous souhaitez les récupérer, vous en avez le droit : la société doit vous les communiquer et les retirer de son espace de collecte. 
  • etc. 

Pour plus d'informations, n'hésitez pas à consulter cet article plus détaillé sur le RGPD

Articles sur le même sujet

Pas de commentaires
Soyez le premier à déposer un commentaire

Laisser un commentaire pour l'article La CNIL met en demeure deux sociétés pour pistage publicitaire abusif

Merci de rester correct et de respecter les différents intervenants.

Sélection logiciels
  • Avira Home Guard Avira Home Guard 65 téléchargements

    Avira Home Guard est un logiciel proposé par Avira qui vous indique si votre réseau domestique est suffisamment protégé. Il analyse plusieurs...
    Voir le logiciel

  • ZHPFix 2018 ZHPFix 2018 11 téléchargements

    ZHPFix est un programme permettant de traiter les éléments indésirables listés dans les rapports du logiciel ZHPDiag
    Voir le logiciel

  • ZHPLite 2018 ZHPLite 2018 18 téléchargements

    ZHPLite est un utilitaire permettant d'analyser les rapports de diagnostics réalisés avec ZHPDiag
    Voir le logiciel