Délibération 2018-287 du 5 juillet 2018

Commission Nationale de l'Informatique et des Libertés
Délibération n°2018-287 du 5 juillet 2018
Délibération du bureau de la Commission nationale de l’informatique et des libertés n° 2018-287 du 5 juillet 2018 décidant de rendre publique la mise en demeure n°MED-2018-022 du 25 juin 2018 prise à l’encontre de la société TEEMO
Etat: VIGUEUR

Le bureau de la Commission nationale de l’informatique et des libertés, réuni le 5 juillet 2018 sous la présidence de Mme Isabelle FALQUE-PIERROTIN ;

Etaient aussi présents Mme Marie-France MAZARS, Vice-présidente déléguée, et M. Eric PERES, Vice-président ;

Vu la convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 45 et 46 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 fixant le règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n°MED-2018-022 du 25 juin 2018 de la Présidente de la Commission mettant en demeure la société TEEMO.

A adopté la délibération suivante :

Par décision du 25 juin 2018, la Présidente de la Commission a, sur le fondement de l’article 45 de la loi du 6 janvier 1978 modifiée, mis en demeure la société TEEMO, sise 39, rue Godot de Mauroy à Paris (75009), de faire cesser sous un délai de trois mois les manquements constatés à cette même loi, notamment celui relatif à l’obligation de recueillir le consentement des personnes au traitement de leurs données de géolocalisation à des fins de profilage et ciblage publicitaire.

En application de l’article 45-II dernier alinéa de la loi du 6 janvier 1978 modifiée, la Présidente de la CNIL a régulièrement convoqué le bureau de la Commission aux fins de statuer sur sa demande de rendre publique sa décision.

Le bureau a été réuni à cette fin le 5 juillet 2018.

Après en avoir délibéré, le bureau estime que la publicité de la décision de mise en demeure se justifie par la gravité des manquements.

La société TEEMO s’appuie sur une technologie dénommée SDK afin de collecter des données à caractère personnel via les smartphones et d’effectuer des campagnes publicitaires mobiles auprès des personnes.

À l’occasion de ses investigations, la CNIL a notamment constaté que la société collecte, sans recueillir le consentement des personnes, leurs données de géolocalisation. Un tel traitement constitue un risque particulier au regard de la vie privée en ce qu’il est révélateur des déplacements des personnes et de leurs habitudes de vie.

Le bureau souligne que la publicité se justifie également par le nombre massif de personnes susceptibles d’être impactées par le traitement mis en œuvre par la société TEEMO alors que le SDK est intégré à des dizaines d’applications mobiles et qu’une partie importante de la population est en possession d’un smartphone. À cet égard, le bureau relève que le SDK installé sur les applications collecte les données de géolocalisation des personnes environ toutes les cinq minutes et qu’il a été constaté par la délégation de la CNIL que, sur une journée, 1 635 402 identifiants publicitaires avaient été collectées par la société.

Le bureau estime par ailleurs que la publicité de la mise en demeure se fonde sur la nécessité de mettre les personnes concernées en mesure de garder le contrôle de leurs données. Cet objectif ne saurait être atteint qu’en assurant le plus haut niveau de transparence sur la collecte des données, notamment de géolocalisation, et la finalité du traitement mis en œuvre par la société TEEMO.

Enfin, le bureau souhaite sensibiliser les professionnels du secteur sur cette difficulté alors que la collecte de données à caractère personnel à des fins de profilage et de ciblage publicitaire, notamment à partir des lieux fréquentés par les personnes, connaît une forte croissance. Le bureau note, en effet, que l’utilisation du SDK s’inscrit dans un écosystème faisant intervenir plusieurs acteurs, à savoir les éditeurs d’applications mobiles et les clients annonceurs, qu’il est essentiel d’alerter sur les enjeux de la protection des données.

En conséquence, le bureau de la Commission nationale de l’informatique et des libertés décide de rendre publique la décision n°MED-2018-022 de la Présidente de la CNIL mettant en demeure la société TEEMO.

Le bureau rappelle que cette mise en demeure ne revêt pas le caractère d’une sanction. A ce titre, aucune suite ne sera donnée à la procédure si l’organisme concerné se conforme en tout point aux exigences de la mise en demeure dans le délai imparti. Si tel est le cas, celle-ci fera l’objet d’une clôture qui sera également rendue publique.

Enfin, tant la décision de mise en demeure précitée que la présente délibération seront anonymisées à l’expiration d’un délai de deux ans à compter de leur publication.

La Présidente

Isabelle FALQUE-PIERROTIN

Date de la publication sur legifrance: 19 juillet 2018