Corinne Thiérache a publié un nouvel article « Les applications mobiles dans le collimateur de la CNIL »
Corinne Thierache
Par deux décisions en date du 25 juin 2018, la CNIL a mis en demeure les sociétés FIDZUP et TEEMOO de se conformer au RGPD et à la Loi Informatique et Libertés dans un délai de trois mois. Compte tenu de la « nature des manquements », du « nombre de personnes concernées par ces traitements et de la nécessité de sensibiliser les professionnels du secteur sur les enjeux liés au recours à ce type de technologie », la CNIL a par ailleurs décidé de rentre publiques ces mises en demeure sur son site le 19 juillet 2018.
Les sociétés visées par ces mises en demeure collectaient, à des fins publicitaires voire de profilage, les données de géolocalisation des personnes utilisant leur application via leurs smartphones. Ces données étaient recueillies par le biais d’outils techniques connus sous le nom de « SDK », lequel était intégré dans le code des applications mobiles des partenaires des deux sociétés, et ce même lorsque cette application n’était pas en fonctionnement.
Plusieurs manquements ont été constatés par la CNIL.
1. Le manquement à l’obligation de disposer d’une base légale
Les sociétés TEEMO et FEDZUP ont déclaré à la CNIL fonder leur collecte de données à caractère personnel sur le consentement des personnes concernées.
Dans son avis du 13 juillet 2011 (15/2011), le G29 a précisé la définition du consentement licite, qui implique que « toutes les informations nécessaires doivent être données au moment de la demande du consentement, et que ces informations doivent couvrir tous les aspects de fond du traitement ».
(i) La CNIL a relevé que les personnes n’étaient pas informées. Elle a considéré que « l’information délivrée au sein des chartes vie privée des applications mobiles est tardive dès lors qu’elle n’est accessible aux personnes qu’après l’installation de l’application et du SDK ».
La CNIL a également relevé que les personnes ayant téléchargé l’application avant la mise en place du SDK n’étaient pas directement informées de l’intégration de celui-ci à l’application et de la finalité poursuivie par ce traitement, puisque le SDK était intégré au smartphone de la personne concernée à l’occasion d’une mise à jour de l’application, les nouvelles CGU ou politiques de vie privée des applications n’étant alors pas directement portées à sa connaissance.
(ii) Les utilisateurs des applications ne fournissaient pas un consentement libre au traitement réalisé par la société puisqu’il n’était pas possible pour l’utilisateur de télécharger l’application mobile « sans le SDK ».
(iii) Enfin, la CNIL a considéré que les sociétés n’avaient pas recueilli effectivement le consentement spécifique des personnes concernées pour la collecte de leurs données personnelles à des fins publicitaires, et surtout à des fins de profilage réalisées à partir de leur localisation. Le consentement donné par les personnes concernait seulement la collecte des données afin d’utiliser l’application mobile.
2. Le manquement à l’obligation de définir et de respecter une durée de conservation proportionnée à la finalité du traitement
D’après les informations fournies par la CNIL, le SDK installé dans les applications mobiles collectait « les données de géolocalisation des utilisateurs environ toutes les cinq minutes ». La société FIDZUP avait, par déclaration à la CNIL, défini une durée de conservation de 3 mois, alors que la société TEEMO les conservait pendant 13 mois.
Seule la seconde société a été mise en demeure sur ce chef. La CNIL a ainsi considéré que « la durée de conservation de 13 mois de telles données est excessive au regard de sa finalité de profilage et de ciblage publicitaire » considérant que cela était « contraire à l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement ».
Par ailleurs, la société TEEMO procédait à une combinaison de données en ce qu’elle collectait des données des personnes à l’aide du traceur SDK intégré dans les applications puis croisait ces données avec les points d’intérêts (POIs) à des fins de profilage. Dès lors, la CNIL a considéré que « la conservation par la société de toutes les données de géolocalisation des utilisateurs au-delà du temps nécessaire à la réalisation de l’opération de correspondance entre les données collectées et les zones géographiques POIs (…) est excessive au regard de la finalité de ciblage publicitaire du traitement. »
Cette durée de 13 mois évoque la durée préconisée par la CNIL pour la validité du consentement au dépôt des cookies, mais elle ne saurait être assimilée automatiquement à la durée de conservation des données collectées à l’aide d’un cookie (cf. délibération du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et autres traceurs qui certes ne prenait pas à l’époque totalement en compte les spécificités des applications mobiles). En réalité, seuls les cookies de mesure d’audience se voient accorder une durée maximale de conservation de treize mois dans le cadre du régime d’exemption du recueil du consentement, à condition notamment que les données collectées ne soient pas recoupées avec d’autres traitements et que la finalité du traitement se limite à la seule mesure d’audience, ce qui n’était pas le cas en l’espèce.
3. Le manquement à l’obligation d’assurer la sécurité et la confidentialité des données gérées par un sous-traitant
La CNIL a considéré que la société TEEMO avait manqué à son obligation d’assurer la sécurité et la confidentialité des données gérées par un sous-traitant.
En effet, le contrat conclu entre la société TEEMO et son sous-traitant, GOOGLE CLOUD, hébergeur des données collectées ne prévoyait pas « de clause relative aux obligations du sous-traitant en matière de sécurité et de confidentialité des données à caractère personnel, précisant notamment que le sous-traitant ne peut agir que sur instruction du responsable de traitement ».
4. Enseignements à en tirer
Les éditeurs d’applications mobiles qui insèrent dans leurs produits un SDK, ainsi que leur sous-traitant, se doivent d’être particulièrement vigilants, la CNIL ayant déclaré qu’elle « sera amenée sans les mois à venir à porter une attention particulière aux différents intervenants de la chaine d’acteurs dans laquelle intervient l’utilisation du SDK. »
Dès lors, il est conseillé aux acteurs faisant appel au SDK de réaliser rapidement un audit de conformité afin de s’assurer que :
– le processus de recueil du consentement mis en place remplit effectivement tous les critères énoncés par la CNIL, ( information préalable, précise, spécifique et consentement libre),
– la durée de conservation définie est proportionnée à la finalité du traitement,
– un processus interne a été mis en place par la société et son sous-traitant afin d’assurer la confidentialité et la sécurité des données gérées.
Vous pouvez contacter sur cette question Corinne THIERACHE.
Remerciements à Sherazade Haddou.