La Cnil épingle Fidzup et Teemo

L'autorité de régulation des données personnelles a mis en demeure les deux start-up du marketing digital, Fidzup et Teemo. La Cnil pointe une absence de consentement au traitement de données de géolocalisation. Une affaire antérieure à l'entrée en vigueur du RGPD.

Fidzup et Teemo ont été mis en demeure par la Cnil, selon une information publiée par l'autorité de régulation des données personnelles, ce 19 juillet 2018. Il leur est reproché une "absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire", comme la Commission nationale de l'informatique et des libertés l'énonce sur son site Internet.

Fidzup et Teemo ont recours à des SDK, des kits de développement, dont le but est de collecter des données au sein des applications mobiles de partenaires. "Ces outils sont intégrés dans le code d’applications mobiles de leurs partenaires. Ils leur permettent de collecter les données des utilisateurs des smartphones même lorsque ces applications ne sont pas en fonctionnement", a expliqué la Cnil dans sa publication. Teemo récupérait l’identifiant publicitaire des smartphones et les données de géolocalisation des personnes, environ toutes les cinq minutes. Quant à Fidzup, la start-up obtenait les identifiants publicitaires mobiles et l’adresse MAC du smartphone.

Si les sociétés Teemo et Fidzup indiquent traiter ces données avec le consentement des personnes concernées, les enquêtes de la Cnil sont parvenues à un tout autre verdict. Les vérifications ont relevé, en effet, que le consentement n’a pas été recueilli comme la loi l’exige. Teemo se trouve accusé de ne pas avoir informé de manière transparente de la présence d'un SDK chargé de récolter les données, tandis que Fidzup n'a informé les utilisateurs des applications ni de la finalité de ciblage publicitaire du traitement mis en œuvre ni de l’identité du responsable de ce traitement. Deux cas de figure dans lesquels les données peuvent être regardées comme traitées à l’insu des utilisateurs, sans le consentement préalable requis.

Un contexte particulier

Le contexte importe, cependant. Prenons celui de Fidzup. Il apparaît, comme l'explique à nos confrères du site Frenchweb Olivier Magnan-Saurin, le cofondateur et président de la jeune pousse, que les examens de la Cnil ont été réalisés à l'été 2017, soit en pleine refonte du système et de la méthode de récolte du consentement. Un chantier entamé en début d'année 2017, justement. "Nous proposions alors le pop-up en option et ne l’imposions pas à nos partenaires. Depuis, Fidzup a terminé le nouveau pop-up de récolte du consentement demandé par la Cnil et l’a prescrit à 100 % de ses éditeurs partenaires. Nous allons donc notifier la Cnil en ce sens et sommes confiants sur une issue rapide et positive", a-t-il avancé à nos confrères.

Rappelons pour finir que la loi n° 2018-493 du 20 juin 2018, promulguée le 21 juin 2018, a modifié la loi Informatique et Libertés afin de mettre en conformité le droit national avec le cadre juridique européen. Cette loi permet la mise en œuvre concrète du Règlement général sur la protection des données (RGPD) et de la Directive "police-justice", applicable aux fichiers de la sphère pénale. La lisibilité du cadre juridique national sera améliorée par une ordonnance qui sera prise dans un délai de six mois. De cette évolution, la Cnil obtient, notamment, des pouvoirs nécessaires à l’exercice de ses missions, dans un contexte marqué par la reconnaissance de nouveaux droits aux citoyens et le renforcement de la responsabilité des opérateurs.