Applications mobiles : clôture des mises en demeure à l’encontre des sociétés FIDZUP et SINGLESPOT

À la suite de contrôles effectués sur des traitements de données permettant d'effectuer des campagnes de ciblage publicitaire vers des téléphones mobiles sur la base des données de géolocalisation par les sociétés FIDZUP et SINGLESPOT, la Présidente de la CNIL a mis en demeure ces sociétés de se conformer à la loi.

Les manquements aux règles de la loi Informatique et Libertés, reprises par le RGPD (règlement général sur la protection des données), portaient d'une part, sur un défaut de recueil de consentement des personnes au traitement de leurs données de géolocalisation à des fins publicitaires, d'autre part, concernant la société SINGLESPOT, sur une durée de conservation excessive des données de localisation et une sécurisation insuffisante des données.

Les réponses de ces sociétés ont permis à la Présidente de la CNIL de considérer que les manquements avaient cessé.

Les sociétés ont en effet développé des bannières s'affichant lors de l'installation des applications mobiles avant la collecte des données. Ces bannières permettent désormais de recueillir un consentement libre, spécifique, éclairé et résultant d'une action positive des personnes, conformément au RGPD. Les utilisateurs sont ainsi informés, avant toute collecte de leurs données :

• de la finalité du traitement : la publicité ciblée géolocalisée et les études marketing ;
• de l'identité des responsables de traitement (les partenaires géomarketing) accessible aisément grâce à un lien cliquable ;
• des données collectées : adresse MAC de la puce wifi, identifiant publicitaire du téléphone et les données de géolocalisation.

Les personnes sont également informées de la possibilité de retirer leur consentement à tout moment. Elles peuvent, grâce à un lien cliquable, avoir accès à une information plus complète notamment sur leurs droits.

Les personnes sont donc en mesure d'« accepter » ou de « refuser » que leurs données de géolocalisation soient traitées à des fins de publicité ciblée. En cas de refus, les données ne sont pas collectées par les sociétés FIDZUP et SINGLESPOT et les personnes peuvent continuer à utiliser l'application sans que la qualité du service ne soit altérée.

Concernant la durée de conservation et la sécurité des données, la société SINGLESPOT a informé la Présidente de la CNIL qu'un système de purge automatique des données et une politique de mots de passe contraignants avaient été mis en place.

La Présidente de la CNIL a considéré que, dans ces conditions, les sociétés FIDZUP et SINGLESPOT s'étaient mises en conformité avec le RGPD et a clôturé les procédures.