L'autorité française de protection des données personnelles, la Cnil, a mis en demeure mardi une startup de ciblage publicitaire, Singlespot, pour avoir exploité les données de géolocalisation d'utilisateurs de smartphones sans leur consentement. Comme deux autres sociétés épinglées en juillet, Singlespot intègre des outils dans le code d'applications de société partenaires, pour recueillir les données des utilisateurs, même lorsqu'ils n'utilisent pas les applications en question. Ces données (situation socio-professionnelle, quartiers fréquentés, magasins privilégiés, lieu de soins...) permettent aux enseignes de cibler de potentiels clients à proximité de leurs établissements et de les attirer avec des offres calibrées en conséquence.
Un modèle économique qui est encadré par la loi "Informatique et Libertés", ainsi que le Règlement européen sur la protection des données (RGPD): l'utilisateur des applications doit être informé, avant l'activation de ces outils, qu'ils collectent leurs données. "Les vérifications de la Cnil ont permis de constater que le consentement n'est pas valablement recueilli", détaille le communiqué de l'autorité, et "il n'est par ailleurs pas toujours possible pour l'utilisateur de télécharger l'application mobile sans activer le "SDK" (les outils de géolocalisation et de collecte, NDLR)".
Trois mois de sursis
Singlespot a trois mois pour mettre en place les recommandations de la Cnil, c'est-à-dire "recueillir le consentement des utilisateurs dans les conditions prévues par la loi", "définir une durée de conservation adéquate", et "assurer la sécurité des données pour que leur activité soit pleinement conforme aux textes". "Aucune suite ne sera donnée à ces procédures si la société se met en conformité", conclut l'autorité. En juillet, elle avait mis en demeure deux autres startups pour des raisons similaires. La procédure est toujours en cours pour Fidzup, mais Teemo s'est depuis conformée à ces exigences.
De son côté, Singlespot a assuré dans un communiqué prendre "très au sérieux" la mise en demeure de la Cnil et "coopérer pleinement" avec l'institution pour trouver une solution. "Nos experts techniques sont mobilisés depuis nos premiers échanges avec la CNIL pour mettre à jour notre logiciel", indique la startup qui précise que ses équipes "finalisent les aménagements techniques nécessaires" au recueillement du consentement des mobinautes imposé par le RGPD.
Maddyness avec AFP