I. Contexte général et disposition légale :
Le consentement constitue la base légale du traitement des données à caractère personnel.
L’article 7 du RGPD prévoit que le consentement doit être spécifique, c’est-à-dire se distinguer clairement des autres questions, formulé en des termes clairs et simples. Dès lors la personne dont le consentement est recueilli doit pouvoir le retirer à tout moment, et en être expressément informé.
Ainsi la personne responsable du traitement doit démontrer que la personne concernée a donné son consentement au traitement de ses données personnelles. De surcroit, la personne faisant l’objet d’une collecte doit l’approuver mais également connaitre la finalité dans lequel ses données sont récupérées.
Toutes les données, quel que soit leur mode de collecte, doivent donc respecter les dispositions du RGPD en matière de consentement, y compris les données géolocalisées.
Cependant depuis l’entrée en vigueur du RGPD le 25 Mai 2018, les sociétés utilisant des systèmes permettant de recueillir des données de géolocalisation font l’objet d’une attention particulière de la part de la CNIL.
Au cours des mois précédents l’entrée en vigueur du RGPD, l’autorité de contrôle a publié plusieurs normes et avis concernant les données géolocalisées, notamment dans le cadre de la géolocalisation des salariés ainsi que sur les véhicules autonomes.
La position de la CNIL est alors claire, ces données doivent faire l’objet d’une collecte très encadrée car : « il s’agit de données particulièrement révélatrices des habitudes de vie des personnes concernées. »[1].
Elle considère que ces informations peuvent notamment permettre de déduire le lieu de travail d’une personne, son domicile, ses trajets, ses habitudes ou encore ses centres d’intérêts. Il faut donc que leur traitement et leur collecte soit très encadré.
La CNIL appel donc les prestataires et les fournisseurs de service à une grande prudence afin de réaliser la collecte de ces données que dans le cadre strict des finalités prévues et seulement si cela est nécessaire. A ce titre les plateformes de téléchargement mobiles (Appstore et PlayStore) ont dû se plier aux obligations d’information et de consentement en matière de données et de géolocalisation.
Le consentement doit être recueilli de la même façon pour les données géolocalisées que pour les autres types de données, en revanche la CNIL considère que la seule présence d’une clause contractuelle garantissant un consentement initial valablement collecté, ne suffit pas à remplir l’obligation imposée par l’article 7.
La collecte de données de géolocalisation doit donc respecter les dispositions légales communes en la matière mais doit également suivre certaines obligations spécifiques dictées par la CNIL en lien avec le caractère « sensible » de ces données.
A ce titre, elle préconise principalement trois choses sur la collecte de ce type de données :
- de recueillir le consentement spécifique de la personne faisant l’objet d’une collecte de données personnelles de géolocalisation ;
- de renseigner la personne sur la finalité du traitement de ses données GPS ;
- de permettre à la personne visée de désactiver la géolocalisation à tout moment ;
Bien entendu, ces obligations ne supplantent pas celles en vigueur en matière de données personnelles à savoir la détermination d’une finalité, d’une durée de conservation adéquate ou de mesures de sécurité satisfaisantes.
L’aspect intrusif des données de géolocalisation est aujourd’hui au centre des débats en matière de collecte des données personnelles, c’est pourquoi la CNIL veille à ce que les dispositions relatives au consentement et à la collecte soient scrupuleusement respectées.
II. La décision de la CNIL
Ainsi, au début du mois de Novembre 2018, la mise en demeure de la CNIL visant la société VECTAURY fait suite à une série de décisions mettant à jour les abus réalisés par certaines sociétés françaises en matière de collecte de données géolocalisées. La société VECTAURY est donc la 4ème société sanctionnée par la CNIL après les sociétés FIZDUP et TEEMO[2] au mois de Juillet 2018 et la société SINGLESPOT[3] en Octobre dernier.
Comme pour les mises en demeure précédentes, la CNIL met ici en cause la collecte et le profilage des données personnelles des utilisateurs de l’application commercialisée par la société VERTAURY, elle pointe notamment du doigt un outil bien connu du milieu : le SDK.
Dès lors, qu’est-ce qu’un SDK ?
Brièvement, un SDK de géolocalisation est un extrait de code. Les éditeurs l’intègrent dans les programmes des applications mobiles et lorsqu’elles sont utilisées, le SDK va notamment transmettre les données de géolocalisation GPS de l’utilisateur à l’éditeur.
Ici le SDK développé par la société VECTAURY a donc été intégré dans plusieurs applications mobiles afin de collecter et transférer subsidiairement les données de fonctionnement des utilisateurs dont leur géolocalisation. Les données ont par la suite fait l’objet d’un profilage dans le but d’établir un profil utilisateur et rentabiliser ces informations sur des plateformes d’enchères publicitaires.
L’une des principales problématiques en lien avec les SDK est le recueil du consentement qui est réalisé en marge de leur utilisation. La CNIL en l’espèce a alors fondé sa décision sur « un manquement à l’obligation de recueil du consentement sur les données provenant des SDK ».
L’autorité de contrôle énonce qu’en l’espèce le consentement des utilisateurs était bien recueilli mais pas de façon explicite. En effet l’application n’informe pas les personnes de la présence d’un SDK de géolocalisation ni bien entendu de ce qu’il fait. Elle ne leur donne pas non plus la possibilité de le désactiver lors du téléchargement de l’application. Le SDK va alors de manière « automatique », dès l’allumage de l’application, recueillir et transmettre les données géolocalisées des utilisateurs. C’est bien cet automaticité que condamne ici la CNIL.
Elle a néanmoins inclus une nouveauté dans sa décision en se fondant cette fois sur « un manquement à l’obligation de recueil du consentement sur les données provenant des offres d’enchère en temps réel d’espace publicitaire. »
En pratique l’application mobile va collecter les données des utilisateurs, géolocalisées ou non, afin de réaliser un profilage publicitaire. Ces informations seront par la suite revendues par les éditeurs à des prestataires de publicité sur des plateformes d’enchères.
La CNIL avance alors le chiffre de 42 millions d’identifiants publicitaires[4] ayant été recueillis sur plus de 32.000 applications par la société mise en demeure. On imagine alors sans mal les profits qu’a pu en tirer la société VECTAURY.
La CNIL indique là encore que la collecte se fait, comme pour les SDK, de manière automatique et sans que l’utilisateur n’est pas en capacité d’indiquer clairement son consentement, ni informé de ladite collecte ou de sa finalité. Constituant ainsi une atteinte grave aux dispositions légales mises en place par le RGPD ; l’intervention de la part de l’autorité de contrôle est alors totalement justifiée.
Ainsi, avec une troisième décision du genre en un peu plus de 4 mois, la CNIL annonce donc clairement sa volonté de mettre fin aux abus des éditeurs d’applications mobiles collectant des données personnelles géolocalisées par l’intermédiaire des SDK ou des atteintes au recueil du consentement de la part de certains éditeurs.
Elle a donc mis en demeure la société VECTAURY de se mettre en conformité dans son traitement des données géolocalisées, et ce dans un délai de 3 mois ainsi que de supprimer les données qu’elle a indument collectées.
III. Et maintenant que fait-on ?
Ces décisions sont les premières en matière de données de géolocalisation. La CNIL a clairement compris les enjeux autour des questions de géolocalisation et entend faire respecter les dispositions légales relatives au traitement et à la collecte des données à caractère personnel.
Les données géolocalisées représentent aujourd’hui une véritable valeur commerciale pour certaines sociétés, soucieuse de faire des profits elles sont alors beaucoup moins regardantes en ce qui concerne les mesures quant au traitement des données personnelles.
Cependant leur nature envahissante pousse la CNIL à se montrer vigilante et à sanctionner au moindre écart de la part des personnes en charge du traitement.
Au final, la CNIL utilise l’aspect sensible des données de géolocalisation afin de faire passer un message à toutes les sociétés utilisant les données personnelle à des fins détournées car si jusqu’alors aucune sanction réelle n’a été prononcée, les sociétés mises en demeure ont été obligées de supprimer l’ensemble des données collectées « illégalement ».
Quoiqu’il en soit le fait de rendre public ces décisions, constitue déjà une sanction ainsi qu’un avertissement sans frais pour les autres sociétés du secteur.
Source décision CNIL : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000037594601/
Plus d’info : https://www.cnil.fr/fr/la-procedure-de-mise-en-demeure
[1] Pack de conformité CNIL : véhicules connectés et données personnelles ; page 25
[2] Délibération du bureau de la CNIL n° 2018-287 du 5 juillet 2018 décidant de rendre publique la mise en demeure n°MED-2018-022 ;
[3] Délibération du bureau de la CNIL n° 2018-344 du 18 octobre 2018 décidant de rendre publique la mise en demeure n° MED 2018-043 ;
[4] Mise en demeure, n° MED 2018-042 du 30 octobre 2018 mettant en demeure la société VECTAURY ;