Données personnelles : la CNIL épingle Singlespot !

singlespot

RGPD : En France, la CNIL ordonne l'effacement de 14 millions d'enregistrements de données personnelles à la société SINGLESPOT !



Le premier contrôle mené par la CNIL depuis l’entrée en vigueur du RGPD vient d’être rendu public en France, suivi du prononcé d’une mise en demeure. L’affaire est marquante car dans sa décision la CNIL impose l’effacement de 14 millions de fiches de données personnelles (clients - prospects) ayant été collectés sans avoir respecté les prescriptions du RGPD.

Cette affaire mérite une attention particulière car c’est le premier contrôle rendu public depuis l’entrée en vigueur du RGPD, le 25 mai 2018, et c’est un cas d’application qui illustre parfaitement les enjeux de la nouvelle règlementation.

En l’espèce, l’affaire met en cause la société SINGLESPOT dont l’activité est l’affichage de publicités pour le compte d’annonceurs. Celle-ci produisait une solution technique permettant aux développeurs d’applications mobiles de monétiser leur applications grâce à de la publicité ciblée.

La particularité de la solution technique mise en place tient à ce que la société établit des profils de consommateurs géolocalisés. De la sorte, SINGLESPOT pouvait suivre les utilisateurs au long de leurs déplacements et leur proposer des publicités en fonction de leur localisation : “Sont ainsi, par exemple, ciblés les mobinautes s’étant rendus dans des magasins concurrents et ceux ayant visité le magasin d’un client au cours des 15 derniers jours”.

Les données collectées étaient le suivantes : l’identifiant publicitaire mobile, le nom et la version de l’application mobile et le système d’exploitation utilisé. Ces données étant ensuite croisées avec des points d’intérêts, déterminés par les annonceurs (ex: boutiques concurrentes) afin de qualifier le profil de l’utilisateur pour le ciblage publicitaire souhaité.

La délégation de la CNIL constatait que la collecte des données de géolocalisation des personnes était opérée :

- Tous les 200 mètres pour les applications installées sur le système d’exploitation IOS ;
- Toutes les cinq minutes sur le système d’exploitation Android.

Les données des utilisateurs étaient transmises à la société SINGLESPOT sans que les personnes n’en soit spécifiquement informées et sans que leur consentement ne soit recueilli pour cette transmission.

Au terme du contrôle effectué, la CNIL constatait que plus de 14 millions d’identifiants publicitaires étaient présents dans les bases de données de SINGLESPOT, dont plus de 5 millions associés à des données de géolocalisation (identifiant unique lié au téléphone mobile des personnes ayant utilisé les applications des éditeurs partenaires de l’entreprise).

La CNIL notait également que les données de géolocalisation des personnes étaient collectées et conservées dans les bases de données de la société, même lorsque les utilisateurs étaient situés en dehors des points d’intérêts géographiques déterminés, et cela, pendant une durée de treize mois à compter de la date de la collecte.

La mise en demeure prononcée par la CNIL et ses conséquences


La CNIL prononce une mise en demeure de la société de se conformer à la loi sous un délai de 3 mois :

La CNIL ordonne l’effacement de toutes les données collectées par l’entreprise sans consentement des personnes, donc potentiellement 14 millions d’enregistrements !

Elle impose la suppression des données de géolocalisation des utilisateurs collectées en dehors des zones de points d’intérêts, la définition d’une durée de conservation des données de géolocalisation proportionnée à la finalité du traitement et procéder à la purge des données anciennes. De même que de définir et mettre en œuvre une politique de durée de conservation des données raisonnable.

Améliorer la sécurité (mots de passe solides, segmentation plus stricte des environnements de production et de développements

L’affaire est en cours, et mérite d’être suivie, car si la société SINGLESPOT ne se conforme pas à la mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de prononcer des sanctions (le maximum étant 20 millions d’euros ou 4% du CA global du groupe).


Sources : CB News et www.donneespersonnelles.fr