Données personnelles : la CNIL épingle Singlespot
La Commission nationale informatique et libertés (cnil) a mis en demeure mardi une start-up de ciblage publicitaire, Singlespot, pour avoir exploité les données de géolocalisation d'utilisateurs de smartphones sans leur consentement. Comme deux autres sociétés épinglées en juillet, Singlespot intègre des outils dans le code d'applications de sociétés partenaires pour recueillir les données des utilisateurs, même lorsqu'ils n'utilisent pas les applications en question. Ces données (situation socio-professionnelle, quartiers fréquentés, magasins privilégiés, lieu de soins...) permettent aux enseignes de cibler de potentiels clients à proximité de leurs établissements et de les attirer avec des offres calibrées en conséquence. Un modèle économique qui est encadré par la loi "Informatique et Libertés", ainsi que le Règlement européen sur la protection des données (RGPD) : l'utilisateur des applications doit être informé, avant l'activation de ces outils, qu'ils collectent leurs données. "Les vérifications de la Cnil ont permis de constater que le consentement n'est pas valablement recueilli", détaille le communiqué de l'autorité, et "il n'est par ailleurs pas toujours possible pour l'utilisateur de télécharger l'application mobile sans activer le "SDK" (les outils de géolocalisation et de collecte, NDLR)". "Singlespot prend très au sérieux cette notification de mise en demeure de la Cnil", a déclaré la start-up dans un communiqué, se disant "extrêmement attachée au respect de la vie privée des mobinautes ainsi qu'à la protection de leurs données personnelles, qui sont des enjeux clés dans notre activité et celle de notre écosystème". La société indique aussi qu'elle coopère avec l'autorité depuis "plusieurs mois" au sujet de la mise en place du RGPD. "Nous avons confiance en notre capacité à lever rapidement les doutes qui ont été exprimés". Elle a désormais trois mois pour mettre en place les recommandations de la Cnil, c'est-à-dire "recueillir le consentement des utilisateurs dans les conditions prévues par la loi", "définir une durée de conservation adéquate", et "assurer la sécurité des données pour que leur activité soit pleinement conforme aux textes". "Aucune suite ne sera donnée à ces procédures si la société se met en conformité", conclut l'autorité. En juillet, elle avait mis en demeure deux autres start-up pour des raisons similaires. La procédure est toujours en cours pour Fidzup, mais Teemo s'est depuis conformée à ces exigences. (avec l’AFP)