La société SINGLESPOT a pour activité d’afficher des publicités pour le compte d’annonceurs, sur les mobiles de personnes dont le profil est déterminé à partir de leurs données de géolocalisation. Elle a également pour activité de mesurer les visites des mobinautes dans les points de vente de ses clients.
Afin de connaitre le profil des mobinautes, SINGLESPOT collecte des données personnelles (IDFA, géolocalisation, nom et version de l’application mobile et système d’exploitation utilisé ) via les applications partenaires ayant intégré son SDK et présentes sur le mobile de la personne. Ce profil est ensuite comparé aux POIs déterminés avec les clients annonceurs afin de qualifier le profil du mobinaute pour le ciblage publicitaire souhaité.
La CNIL a constaté que la société conservait 5 529 383 identifiants associés à des données de géolocalisation et directement liés au mobile de la personne.
Sur la qualité de responsable de traitement: la société SINGLESPOT détermine dans une large mesure les finalités et les moyens des traitements mis en œuvre dans le cadre de l’utilisation du SDK.
Pas de recueil de manière effective, du consentement préalable des utilisateurs des applications éditées par les partenaires de la société SINGLESPOT.
Par ailleurs, lors du téléchargement de l’application, les données sont transmises à SINGLESPOT sans que la personne en soit spécifiquement informée et sans que son consentement ne soit recueilli pour cette transmission.
La CNIL rappelle que la durée de conservation de 13 mois est excessive au regard de sa finalité de profilage et de ciblage publicitaire.
Sur les manquements à l’obligation d’assurer la sécurité et la confidentialité des données: défaut de sécurisation des mots de passe, utilisation de données réelles pour les phases de test et de développement.
Pour en savoir plus, lisez la délibération de la CNIL ici
