Délibération 2018-344 du 18 octobre 2018

Commission Nationale de l'Informatique et des Libertés
Délibération n°2018-344 du 18 octobre 2018
Délibération du bureau de la Commission nationale de l’informatique et des libertés n° 2018-344 du 18 octobre 2018 décidant de rendre publique la mise en demeure n°MED-2018-043 du 8 octobre 2018 prise à l’encontre de la société SINGLESPOT
Etat: VIGUEUR

Le bureau de la Commission nationale de l’informatique et des libertés, réuni le 18 octobre 2018 sous la présidence de Mme Isabelle FALQUE-PIERROTIN ;

Siégeaient, outre la présidente de la Commission, Mme Marie-France MAZARS, Vice-présidente déléguée, et M. Éric PERES, Vice-président ;

Vu la convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 45 et 46 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 fixant le règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° MED-2018-043 du 8 octobre 2018 de la Présidente de la Commission mettant en demeure la société SINGLESPOT.

A adopté la délibération suivante :

Par décision du 8 octobre 2018, la Présidente de la Commission a, sur le fondement de l’article 45 de la loi du 6 janvier 1978 modifiée, mis en demeure la société SINGLESPOT, sise 33, rue Lafayette à Paris (75009), de faire cesser sous un délai de trois mois les manquements constatés à cette même loi, notamment celui relatif à l’obligation de recueillir le consentement des personnes au traitement de leurs données de géolocalisation à des fins de profilage et ciblage publicitaire.

En application de l’article 45-II dernier alinéa de la loi du 6 janvier 1978 modifiée, la Présidente de la CNIL a régulièrement convoqué le bureau de la Commission aux fins de statuer sur sa demande de rendre publique sa décision.

Le bureau a été réuni à cette fin le 18 octobre 2018.

Après en avoir délibéré, le bureau estime que la publicité de la décision de mise en demeure se justifie par les caractéristiques des manquements.

La société SINGLESPOT s’appuie sur une technologie dénommée SDK afin de collecter des données à caractère personnel via les smartphones et d’effectuer des campagnes publicitaires mobiles auprès des personnes.

À l’occasion de ses investigations, la CNIL a notamment constaté que la société collecte des données de géolocalisation sans recueillir le consentement des personnes. Un tel traitement constitue un risque particulier au regard de la vie privée en ce qu’il est révélateur des déplacements des personnes et de leurs habitudes de vie.

Le bureau souligne que la publicité se justifie également par le nombre massif de personnes susceptibles d’être impactées par le traitement mis en œuvre par la société SINGLESPOT alors que le SDK est intégré à des dizaines d’applications mobiles et qu’une partie importante de la population est en possession d’un smartphone. À cet égard, le bureau relève que le SDK installé sur les applications collecte les données de géolocalisation des personnes environ toutes les cinq minutes et qu’il a été constaté par la délégation de la CNIL que 5 529 383 identifiants publicitaires avaient été collectées par la société.

Le bureau estime par ailleurs que la publicité de la mise en demeure se fonde sur la nécessité de mettre les personnes concernées en mesure de garder le contrôle de leurs données. Cet objectif ne saurait être atteint qu’en assurant le plus haut niveau de transparence sur la collecte des données, notamment de géolocalisation, et la finalité du traitement mis en œuvre par la société SINGLESPOT.

Enfin, le bureau souhaite sensibiliser les professionnels du secteur sur cette difficulté alors que la collecte de données à caractère personnel à des fins de profilage et de ciblage publicitaire, notamment à partir des lieux fréquentés par les personnes, connaît une forte croissance. Le bureau note, en effet, que l’utilisation du SDK s’inscrit dans un écosystème faisant intervenir plusieurs acteurs, à savoir les éditeurs d’applications mobiles et les clients annonceurs, qu’il est essentiel d’alerter sur les enjeux de la protection des données.

En conséquence, le bureau de la Commission nationale de l’informatique et des libertés décide de rendre publique la décision n° MED-2018-043 de la Présidente de la CNIL mettant en demeure la société SINGLESPOT.

Le bureau rappelle que cette mise en demeure ne revêt pas le caractère d’une sanction. À ce titre, aucune suite ne sera donnée à la procédure si l’organisme concerné se conforme en tout point aux exigences de la mise en demeure dans le délai imparti. Si tel est le cas, celle-ci fera l’objet d’une clôture qui sera également rendue publique.

Enfin, tant la décision de mise en demeure précitée que la présente délibération seront anonymisées à l’expiration d’un délai de deux ans à compter de leur publication.

La Présidente

Isabelle FALQUE-PIERROTIN

Date de la publication sur legifrance: 23 octobre 2018