Délibération 2018-288 du 5 juillet 2018

Commission Nationale de l'Informatique et des Libertés
Délibération n°2018-288 du 5 juillet 2018
Délibération du bureau de la Commission nationale de l’informatique et des libertés n° 2018-288 du 5 juillet 2018 décidant de rendre publique la mise en demeure n°MED-2018-023 du 25 juin 2018 prise à l’encontre de la société FIDZUP
Etat: VIGUEUR

Le bureau de la Commission nationale de l’informatique et des libertés, réuni le 5 juillet 2018 sous la présidence de Mme Isabelle FALQUE-PIERROTIN ;

Etaient aussi présents Mme Marie-France MAZARS, Vice-présidente déléguée, et M. Eric PERES, Vice-président ;

Vu la convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 45 et 46 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 fixant le règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n°MED-2018-023 du 25 juin 2018 de la Présidente de la Commission mettant en demeure la société FIDZUP.

A adopté la délibération suivante :

Par décision du 25 juin 2018, la Présidente de la Commission a, sur le fondement de l’article 45 de la loi du 6 janvier 1978 modifiée, mis en demeure la société FIDZUP, sise 13, rue Madame de Sanzillon à CLICHY (92110), de faire cesser sous un délai de trois mois le manquement constaté à cette même loi, relatif à l’obligation de recueillir le consentement des personnes au traitement de leurs données, notamment de géolocalisation, à des fins de ciblage publicitaire.

En application de l’article 45-II dernier alinéa de la loi du 6 janvier 1978 modifiée, la Présidente de la CNIL a régulièrement convoqué le bureau de la Commission aux fins de statuer sur sa demande de rendre publique sa décision.

Le bureau a été réuni à cette fin le 5 juillet 2018.

Après en avoir délibéré, le bureau estime que la publicité de la décision de mise en demeure se justifie par la gravité du manquement.

La société FIDZUP s’appuie sur une technologie dénommée SDK afin de collecter des données à caractère personnel via les smartphones et d’effectuer des campagnes publicitaires mobiles auprès des personnes.

À l’occasion de ses investigations, la CNIL a notamment constaté que la société collecte, sans recueillir le consentement des personnes, leurs données de géolocalisation. Un tel traitement constitue un risque particulier au regard de la vie privée en ce qu’il est révélateur des déplacements des personnes et de leurs habitudes de vie.

Le bureau souligne que la publicité se justifie également par le nombre particulièrement important de personnes susceptibles d’être impactées par le traitement mis en œuvre par la société FIDZUP alors que le SDK est intégré à des dizaines d’applications mobiles et qu’une partie importante de la population est en possession d’un smartphone. À cet égard, le bureau relève qu’il a été constaté par la délégation de la CNIL que 5 962 383 identifiants publicitaires distincts avaient été collectés par la société ; chacun d’eux permettant d’identifier le smartphone d’une personne ayant téléchargé l’application de l’un de ses partenaires.

Le bureau estime par ailleurs que la publicité de la mise en demeure se fonde sur la nécessité de mettre les personnes concernées en mesure de garder le contrôle de leurs données. Cet objectif ne saurait être atteint qu’en assurant le plus haut niveau de transparence sur la collecte des données, notamment de géolocalisation, et la finalité du le traitement, mis en œuvre par la société FIDZUP.

Enfin, le bureau souhaite sensibiliser les professionnels du secteur sur cette difficulté alors que la collecte de données à caractère personnel à des fins de ciblage publicitaire, notamment à partir des lieux fréquentés par les personnes, connaît une forte croissance. Le bureau note, en effet, que l’utilisation du SDK s’inscrit dans un écosystème faisant intervenir plusieurs acteurs, à savoir les éditeurs d’applications mobiles et les clients annonceurs, qu’il est essentiel d’alerter sur les enjeux de la protection des données.

En conséquence, le bureau de la Commission nationale de l’informatique et des libertés décide de rendre publique la décision n°MED-2018-023 de la Présidente de la CNIL mettant en demeure la société FIDZUP.

Le bureau rappelle que cette mise en demeure ne revêt pas le caractère d’une sanction. A ce titre, aucune suite ne sera donnée à la procédure si l’organisme concerné se conforme en tout point aux exigences de la mise en demeure dans le délai imparti. Si tel est le cas, celle-ci fera l’objet d’une clôture qui sera également rendue publique.

Enfin, tant la décision de mise en demeure précitée que la présente délibération seront anonymisées à l’expiration d’un délai de deux ans à compter de leur publication.

La Présidente

Isabelle FALQUE-PIERROTIN

Date de la publication sur legifrance: 19 juillet 2018