La Commission nationale de l'informatique et des libertés (Cnil) fait la chasse aux entreprises qui ne respectent pas sa loi et ne se plient pas au réglement général sur la protection des données personnelles (RGPD). Deux nouvelles proies en ont fait les frais, à savoir Fidzup et Teemo, des start-ups qui ont fait du marketing publicitaire mobile et géolocalisé leur spécialité. « Les sociétés Teemo et Fidzup indiquent traiter ces données avec le consentement des personnes concernées. Toutefois, les vérifications de la CNIL ont conduit à relever que le consentement n’est pas recueilli comme la loi l’exige », indique la commission dans un communiqué. « Au regard des manquements constatés, la présidente de la Cnil a décidé de mettre en demeure les sociétés Fidzup et Teemo de se conformer à la loi « Informatique et Libertés » et au RGPD dans un délai de trois mois ».

« Concernant la société Teemo, les personnes ne sont pas informées, lors du téléchargement des applications mobiles partenaires, qu’un SDK permettant de collecter leurs données, et notamment leurs données de localisation, y est intégré », explique la CNIL. A noter que Teemo conserve par ailleurs les données de localisation des pendant 13 mois ce qui s'avère être contraire à « l'obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement ».

Application et SDK indissociables : ça ne passe pas pour la CNIL

S’agissant de la société Fidzup, la commission fait ressortir que « des contrôles effectués sur plusieurs applications mobiles qu’au moment de l’installation de l’application, l’utilisateur n’est informé ni de la finalité de ciblage publicitaire du traitement mis en œuvre, ni de l’identité du responsable de ce traitement. En outre, l’information fournie aux personnes dans les conditions générales d’utilisation des applications ou sur des affiches en magasins intervient après la collecte et le traitement des données, alors que le consentement suppose une information préalable. »

En outre, aussi bien dans le cas de Teemo que de Fidzup, l'utilisateur ne peut pas télécharger l'application mobile sans son kit de développement logiciel. « Les deux sont indissociables : l’utilisation des applications a pour conséquence automatique la transmission de données aux sociétés », écrit la CNIL. « S’il est effectivement demandé aux personnes de consentir au traitement de leurs données de géolocalisation lors de l’installation des applications mobiles, cette action ne concerne que l’utilisation des données par cette application. Elle ne saurait donc valoir consentement à la collecte des données à des fins publicitaires via les SDK ».

Olivier Magnan-Saurin, CEO et co-fondateur de Fidzup, a voulu réagir aux mises en demeure de la Cnil en indiquant dans un communiqué : « Fidzup a terminé le nouveau pop-up de récolte du consentement demandé par la CNIL et l'a prescrit à 100% de ses éditeurs partenaires ». Reste que seule la vigilante et les contrôles de la Cnil ont permis de mettre fin à ces mauvaises pratiques et notamment le consentement des utilisateurs qui n’était pas recueilli comme la loi l’exige.