Délibération 2018-343 du 8 novembre 2018

Commission Nationale de l'Informatique et des Libertés
Délibération n°2018-343 du 8 novembre 2018
Délibération du bureau de la Commission nationale de l’informatique et des libertés n° 2018-343 du 8 novembre 2018 décidant de rendre publique la mise en demeure n°MED-2018-042 du 30 octobre 2018 prise à l’encontre de la société VECTAURY
Etat: VIGUEUR

Le bureau de la Commission nationale de l’informatique et des libertés, réuni le 8 novembre 2018 sous la présidence de Mme Isabelle FALQUE-PIERROTIN ;

Siégeait, outre la présidente de la Commission, Mme Marie-France MAZARS, Vice-présidente déléguée;

Vu la convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 45 et 46 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 fixant le règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° MED-2018-042 du 30 octobre 2018 de la Présidente de la Commission mettant en demeure la société VECTAURY.

A adopté la délibération suivante :

Par décision du 30 octobre 2018, la Présidente de la Commission a, sur le fondement de l’article 45 de la loi du 6 janvier 1978 modifiée, mis en demeure la société VECTAURY, sise 33, rue Lafayette à Paris (75009), de faire cesser sous un délai de trois mois les manquements constatés à cette même loi, notamment celui relatif à l’obligation de recueillir le consentement des personnes au traitement de leurs données de géolocalisation à des fins de profilage et ciblage publicitaire.

En application de l’article 45-II dernier alinéa de la loi du 6 janvier 1978 modifiée, la Présidente de la CNIL a régulièrement convoqué le bureau de la Commission aux fins de statuer sur sa demande de rendre publique sa décision.

Le bureau a été réuni à cette fin le 8 novembre 2018.

Après en avoir délibéré, le bureau estime que la publicité de la décision de mise en demeure se justifie par les caractéristiques des manquements.

La société VECTAURY s’appuie sur une technologie dénommée SDK afin de collecter des données à caractère personnel via les smartphones et d’effectuer des campagnes publicitaires mobiles auprès des personnes. Elle reçoit également des offres d’enchères en temps réel pour de l’espace publicitaire provenant d’applications tierces, avec lesquelles elle n’a aucun lien commercial.

À l’occasion de ses investigations, la CNIL a notamment constaté que la société collecte des données de géolocalisation à travers son SDK. La société conserve également, en vue de traitements ultérieurs, des données de géolocalisation contenues dans les enchères publicitaires qu’elle reçoit d’applications ayant ou non installé son SDK. Dans ces deux cas le consentement des personnes n’est pas valablement recueilli.

De tels traitements constituent un risque particulier au regard de la vie privée en ce qu’ils sont révélateurs des déplacements des personnes et de leurs habitudes de vie.

Le bureau souligne que la publicité se justifie également par le nombre massif de personnes susceptibles d’être impactées par le traitement mis en œuvre par la société VECTAURY compte tenu du fait qu’une partie importante de la population est en possession d’un smartphone.

En effet, le SDK est intégré à une vingtaine d’applications mobiles et permet la collecte des données de géolocalisation des personnes environ toutes les cinq minutes. A cet égard, la délégation a constaté que 5 150 201 identifiants publicitaires avaient été collectées directement par la société.

En outre, le système d’enchère d’espace publicitaire a permis à la société de recueillir plus de 42 934 160 identifiants publicitaires et les données de géolocalisation correspondantes à partir de plus de 32 708 applications.

Le bureau estime par ailleurs que la publicité de la mise en demeure se fonde sur la nécessité de mettre les personnes concernées en mesure de garder le contrôle de leurs données. Cet objectif ne saurait être atteint qu’en assurant le plus haut niveau de transparence sur la collecte des données, notamment de géolocalisation, et la finalité du traitement mis en œuvre par la société VECTAURY. La technicité de ces système, et notamment les enchères publicitaires, rend ces traitements largement inconnus du grand public.

Enfin, le bureau souhaite sensibiliser les professionnels du secteur sur cette difficulté alors que la collecte de données à caractère personnel à des fins de profilage et de ciblage publicitaire, notamment à partir des lieux fréquentés par les personnes, connaît une forte croissance. Le bureau note, en effet, que l’utilisation du SDK s’inscrit dans un écosystème faisant intervenir plusieurs acteurs, à savoir les éditeurs d’applications mobiles et les clients annonceurs, qu’il est essentiel d’alerter sur les enjeux de la protection des données.

En conséquence, le bureau de la Commission nationale de l’informatique et des libertés décide de rendre publique la décision n° MED-2018-042 de la Présidente de la CNIL mettant en demeure la société VECTAURY.

Le bureau rappelle que cette mise en demeure ne revêt pas le caractère d’une sanction. À ce titre, aucune suite ne sera donnée à la procédure si l’organisme concerné se conforme en tout point aux exigences de la mise en demeure dans le délai imparti. Si tel est le cas, celle-ci fera l’objet d’une clôture qui sera également rendue publique.

Enfin, tant la décision de mise en demeure précitée que la présente délibération seront anonymisées à l’expiration d’un délai de deux ans à compter de leur publication.

La Présidente

Isabelle FALQUE-PIERROTIN

Date de la publication sur legifrance: 9 novembre 2018