Données personnelles : la CNIL épingle aussi Vectaury
La Commission nationale informatique et libertés a une nouvelle fois épinglé vendredi une start-up spécialisée dans le ciblage publicitaire, lui reprochant d'exploiter des données d'utilisateurs de smartphones sans accord clair de leur part. La société concernée, Vectaury, est la quatrième de ce type visée par la Cnil depuis l'entrée en vigueur du nouveau Règlement européen sur la protection des données (RGPD), le 25 mai dernier. La Cnil a déjà épinglé en juillet les sociétés Fidzup et Teemo et en octobre la société Singlespot. Teemo a déjà régularisé sa situation. Vectaury a trois mois pour se mettre en conformité dans le recueil des consentements, faute de quoi elle risque une sanction de la Cnil. Dans un communiqué, elle a fait savoir qu'elle comptait "répondre dans les prochains jours aux demandes" de la Cnil et "achever son processus de mise en conformité". "Respecter la vie privée des utilisateurs relève du bon sens et de l'éthique et pas seulement d'une obligation juridique", a affirmé son directeur général Matthieu Daguenet. Vectaury et ses concurrentes intègrent des morceaux de code, des "SDK", dans les applications pour mobile distribuées par ses sociétés partenaires - des chaînes de distribution par exemple. Ces SDK permettent de collecter l'identifiant publicitaire des smartphones et des données de géolocalisation et ce même lorsque les applications ne fonctionnent pas. Ils permettent ainsi l'affichage de publicités ciblées sur l'écran des smartphones, incitant par exemple à se rendre dans un magasin à proximité. La Cnil, entre autres griefs, reproche ainsi à Vectaury de ne pas informer "systématiquement" les internautes qui téléchargent telle ou telle application mobile que celle-ci contient le SDK Vectaury qui collecte leurs données de localisation. "Il n'est par ailleurs pas toujours possible, pour l'utilisateur, de télécharger l'application mobile sans activer le SDK", a également relevé la Cnil. Dans le cas de Vectaury, la Cnil lui reproche aussi d'exploiter sans consentement valable des données d'internautes recueillies lors des offres d'enchères publicitaires en temps réel. Au total, Vectaury a ainsi recueilli grâce à ce système "plus de 42 millions d'identifiants publicitaires et les données de géolocalisation à partir de plus de 32.000 applications", selon la Cnil. Pour échapper à la sanction, Vectaury devra mettre en place des demandes de consentement valables, mais aussi "supprimer les données indûment collectées", a précisé l'institution publique. Fondée en octobre 2014, Vectaury emploie environ 70 personnes mais compte rapidement doubler ses effectifs, après une levée de fonds de 20 millions d'euros début octobre. Elle dit "travailler avec plus de 100 marques et agences, avec la capacité de toucher plus de 25 millions de profils qualifiés en France". "Vectaury a toujours travaillé pour allier performance publicitaire et protection de la vie privée des utilisateurs", a-t-elle assuré dans son communiqué. "Seules les données dites utiles sont collectées" et "elles sont chiffrées et floutées pour un maximum de sécurité", s'est-elle défendue.