Cette affaire mérite une attention particulière car c’est le premier contrôle rendu public depuis l’entrée en vigueur du RGPD, le 25 mai 2018, et c’est un cas d’application qui illustre parfaitement les enjeux de la nouvelle règlementation.
Les faits
En l’espèce, l’affaire met en cause la société SINGLESPOT dont l’activité est l’affichage de publicités pour le compte d’annonceurs. Celle-ci produisait une solution technique permettant aux développeurs d’applications mobiles de monétiser leur applications grâce à de la pubilicté ciblée.
La particularité de la solution technique mise en place - du moins du point de vue du RGPD - tient à ce que la société établit des profils de consomateurs géolocalisés. De la sorte, SINGLESPOT pouvait suivre les utilisateurs au long de leurs déplacements et leur proposer des publicités en fonction de leur localisation : “Sont ainsi, par exemple, ciblés les mobinautes s’étant rendus dans des magasins concurrents et ceux ayant visité le magasin d’un client au cours des 15 derniers jours”.
Les données collectées étaient le suivantes : l’identifiant publicitaire mobile, le nom et la version de l’application mobile et le système d’exploitation utilisé (ANDROID ou IOS). Ces données étant ensuite croisées avec des points d’intérêts, déterminés par les annonceurs (ex: boutiques concurrentes) afin de qualifier le profil de l’utilisateur pour le ciblage publicitaire souhaité.
La délégation de la CNIL constatait que la collecte des données de géolocalisation des personnes était opérée :
- tous les 200 mètres pour les applications installées sur le système d’exploitation IOS ;
- toutes les cinq minutes sur le système d’exploitation Android.
Les données des utilisateurs étaient transmises à la société SINGLESPOT sans que les personnes n’en soit spécifiquement informées et sans que leur consentement ne soit recueilli pour cette transmission.
Au terme du contrôle effectué, la CNIL constatait que plus de 14 millions d’identifiants publicitaires étaient présents dans les bases de données de SINGLESPOT, dont plus de 5 millions associés à des données de géolocalisation (identifiant unique lié au téléphone mobile des personnes ayant utilisé les applications des éditeurs partenaires de l’entreprise).
La CNIL notait également que les données de géolocalisation des personnes étaient collectées et conservées dans les bases de données de la société, même lorsque les utilisateurs étaient situés en dehors des points d’intérêts géographiques déterminés, et cela, pendant une durée de treize mois à compter de la date de la collecte.
Premières remarques
Du point de vue du RGPD nous sommes vraisemblablement face à un traitement dit de “profilage” définit par l’article 4.4 comme “toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique”.
Or, on le sait, la CNIL est particulièrement sensible à ce type de traitement.
D’un point de vue juridique, et au terme de cet exposé des faits, on voit quatre problèmes se profiler que la CNIL a évidemment relevé :
- une collecte de données personnelles sans information préalable et sans consentement
- une violation probable des principes de loyauté et de transparence (art. 5.1.a)
- une violation probable du principe de minimisation (art. 5.1.c)
- une interrogation quant à la base légale sur laquelle repose le traitement (consentement ?).
Comment la CNIL a eu vent de l’activité de la société
Face à un traitement aussi sensible, on est pour le moins étonné de lire la manière dont la CNIL a eu connaissance de ce traitement…
En effet, la société a elle-même déposé une déclaration à CNIL le 9 mai 2018 relative à un traitement dont la finalité était de “créer des segments d’audience que nous adressons avec de la publicité mobile. […] sur la base des segments d’élaborer des études à destination de clients de divers industries (retail, immobilier, etc.) en vue, en particulier, de les aider à avoir une meilleure compréhension du marché et de ses tendances et de les aider à analyser la performance de leurs magasins”.
Pour rappel, le règlement européen entrait en vigueur le 25 mai 2018, donc deux semaines plus tard. C’est là ou les choses sont pour le moins singulières : si l’entreprise met en oeuvre un traitement qui n’est pas conforme à la loi, pourquoi en informer la CNIL deux semaines avant l’entrée en vigueur du RGPD ? Particulièrement alors que passé la date du 25 mai, date à laquelle l’entreprise n’avait plus à réaliser de déclaration (mais une simple inscription au registre interne de la société).
On se demande donc ce qui a bien pu motiver la société d’informer la CNIL de l’existence d’un traitement aussi sensible - sans s’assurer au préalable que celui-ci soit mis en oeuvre en parfaite conformité avec la loi, considérant la probabilité extrêmement forte que la CNIL vienne le contrôler.
Les manquements relevés par la CNIL
Lors de son contrôle, la CNIL relevait donc plusieurs manquements aux dispositions légales :
- Un manquement à l’obligation de disposer d’une base légale pour la mise en œuvre du traitement : l’entreprise affirmait que les opérations de ciblage étaient basées sur le consentement des personnes mais la CNIL a relevé “qu’au moment de l’installation des applications contrôlées, les personnes ne sont pas informées de la collecte de leurs données de géolocalisation via le SDK à des fins de profilage des utilisateurs et de ciblage publicitaire”
- Un manquement à l’obligation de définir et de respecter une durée de conservation proportionnée à la finalité du traitement (en fait le principe de minimisation) - à ce titre, la CNIL relève à juste titre que “la Commission considère que l’utilisation des dispositifs de géolocalisation est particulièrement intrusive au regard des libertés individuelles, dans la mesure où ils permettent de suivre de manière permanente et en temps réel des personnes, aussi bien dans l’espace public que dans des lieux privés. Ainsi, la CNIL estime que les données de géolocalisation ne peuvent être conservées que pour une durée strictement proportionnée à la finalité du traitement qui a justifié cette géolocalisation”
- Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données - qui tenait à ce que le mot de passe administrateur utilisait un mot de passe de 16 caractères composé uniquement de trois types caractères différents (majuscules, minuscules et chiffres) alors que la charte de sécurité de l’entreprise précaunisait des majuscules, minuscules, chiffres et caractères spéciaux, ainsi qu’une utilisation des données utilisateurs des bases de données de production dans les environnements de développement.
Le dernier manquement concernant la sécurité informatique relevé par la CNIL appelle toutefois à une nuance, car dans des processus de développement (devops), il peut être nécessaire d’utiliser des données de production en particulier pour réaliser des tests et s’assurer que le logiciel fonctionne normalement (usabilité/sécurité). Il semble toutefois ressortir des faits que l’entreprise développait ses applications directement sur des environnements de production - ce qui est effectivement contraire aux bonnes pratiques.
La mise en demeure prononcée par la CNIL et ses conséquences
La CNIL prononce une mise en demeure de la société de se conformer à la loi sous un délai de 3 mois :
-
La CNIL ordonne l’effacement de toutes les données collectées par l’entreprise sans consentement des personnes : “ne pas procéder sans base légale au traitement des données de géolocalisation des personnes à des fins de ciblage publicitaire, en particulier recueillir, de manière effective, le consentement préalable des utilisateurs des applications éditées par les partenaires de la société SINGLESPOT au traitement de leurs données par cette dernière (…) et à défaut, supprimer lesdites données collectées”. (donc potentiellement 14 millions d’enregistrements !)
-
Elle impose la suppression des données de géolocalisation des utilisateurs collectées en dehors des zones de points d’intérêts, la définition d’une durée de conservation des données de géolocalisation proportionnée à la finalité du traitement et procéder à la purge des données anciennes. De même que de définir et mettre en œuvre une politique de durée de conservation des données raisonnable.
-
Améliorer la sécurité (mots de passe solides, segmentation plus stricte des environnements de production et de développements
L’affaire est en cours, et mérite d’être suivie, car si la société SINGLESPOT ne se conforme pas à la mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de prononcer des sanctions (le maximum étant 20 millions d’euros ou 4% du CA global du groupe).