Auteur: Hugo SALARD
La CNIL met en demeure la société VECTAURY de recueillir le consentement des personnes au traitement de leurs données de géolocalisation à des fins de ciblage publicitaires, via le SDK déposé sur les applications mobiles des éditeurs.
Comme la majorité des sociétés du secteur de la publicité programmatique, la société VECTAURY s’est équipée d’une Consent Management Platform (CMP) pour gérer le consentement des utilisateurs en cas de traitement de données via le SDK. Pour rappel, une CMP est une plateforme technologique dédiée spécifiquement à la collecte et à l’enregistrement du consentement donné par les utilisateurs en matière de données personnelles. Il s’agit d’un outil particulièrement utilisé pour assurer la conformité des acteurs du marché de la publicité en ligne puisque l’objectif de la CMP est aussi d’assurer la restitution/attestation des consentements à tous les partenaires utilisateurs des données collectées.
Dans sa mise en demeure du 30 octobre 2018, la CNIL relève :
– Un manquement à l’obligation de recueil du consentement sur les données provenant des SDK
– Un manquement à l’obligation de recueil du consentement sur les données provenant des offres d’enchère en temps réel d’espace publicitaire ;
Les contrôles ont également permis de constater que le consentement des utilisateurs n’était pas recueilli avant que leurs données personnelles soient utilisées pour du profilage publicitaire. Les informations données à l’utilisateur n’expliquent pas que ses données seront utilisées pour ce système d’enchères en temps réel, ni qu’elles seront ensuite conservées en vue de la définition d’un profil commercial. Comme pour les SDK, la collecte des données est activée par défaut. Le système d’enchère d’espace publicitaire a permis à la société de recueillir plus de 42 millions d’identifiants publicitaires et les données de géolocalisation à partir de plus de 32 000 applications ».
Deux points essentiels à retenir de cette mise en demeure, s’agissant des CMP :
– La CNIL réaffirme qu’un partenaire déposant un SDK sur l’application mobile pour collecter des données personnelles, telle que la géolocalisation des utilisateurs, est considéré comme Responsable de traitement ;
– La CNIL indique ce que doit contenir ou non, une Consent Management Platform (CMP).
Ce dernier point est essentiel : En analysant la CMP VECTAURY, développée en partenariat avec l’IAB, la CNIL donne des indications claires sur ce que doit faire figurer une CMP.
La CNIL rappelle que le consentement via une CMP doit être (1) informé, (2) spécifique et (3) se traduire par une action positive de l’utilisateur.
Selon la CNIL, une CMP devrait respecter les éléments suivants :
– informer de façon transparente et claire. Les termes complexes sont à proscrire.
– valablement informer de l’identité des sociétés par qui les données des utilisateurs seront traitées et qui auront, de ce chef, la qualité de responsable du traitement. Cette présentation implique que DES L’AFFICHAGE DE LA PREMIERE PAGE, où figurent par exemple les boutons cliquables « J’accepte », « Je refuse » et « J’affine mes préférences » , l’utilisateur soit informé des destinataires de ses données, et que l’éventuel consentement qu’il donnerait en cliquant sur le bouton « J’accepte » soit un consentement informé.
– Si une facilité d’utilisation peut être proposée par un bouton d’acceptation ou de refus global, cette fonctionnalité ne peut pas être présentée à l’utilisateur avant que les différentes finalités du traitement ne lui soient exposées, faute de quoi l’utilisateur donnerait un consentement global à plusieurs traitements qu’il ne connaît pas et pour lesquels un consentement spécifique n’a pas été sollicité. Par sa présentation même, la CMP (acceptation ou refus) doit indiquer l’existence de plusieurs traitements ou de plusieurs finalités. L’autre solution pourrait donc consister à placer les boutons d’acceptation sur la seconde page, après la liste des destinataires de données. Une acceptation globale, sans même que l’utilisateur ne soit clairement informé de l’existence de plusieurs traitements ou de plusieurs finalités, ne saurait répondre au critère de spécificité du consentement exigé par le G29.
– Dans l’onglet « Paramétrage » de la CMP, l’acceptation selon les différentes finalités NE DOIT PAS ÊTRE pré-acceptée par défaut. En effet, le fait que l’ensemble des finalités de collecte soient pré-acceptées par défaut ne saurait aboutir à l’expression d’un consentement de la part de l’utilisateur. En effet, son action n’est requise que pour s’opposer au traitement par le fait de décocher les cases correspondant aux différentes finalités.
Ainsi, par cette mise en demeure, la CNIL précise – pour la première fois – ce que doit contenir ou non une CMP. De telles indications, fortement utiles dans cette période de floue (Google n’ayant toujours pas intégré le Framework IAB…), seront vraisemblablement d’une grande aide dans le paramétrage des CMP.
En tout état de cause, la CMP de VECTAURY – élaborée en partenariat avec l’IAB France – ne semble pas satisfaire aux exigences de la CNIL en matière d’information et de consentement. Au regard du marché actuel, c’est le cas de nombreuses CMP…
Pour plus d’informations contactez TNP : hugo.salard[at]tnpconsultants.com
