Une nouvelle fois, la Cnil épingle une start-up de ciblage publicitaire

Paris - Le gendarme des données personnelles, la Cnil, a une nouvelle fois épinglé vendredi une start-up spécialisée dans le ciblage publicitaire, lui reprochant d'exploiter des données d'utilisateurs de smartphones sans accord clair de leur part.

La société concernée, Vectaury, est la quatrième de ce type visée par la Cnil depuis l'entrée en vigueur du nouveau Règlement européen sur la protection des données (RGPD), le 25 mai dernier.

La Cnil a déjà épinglé en juillet les sociétés Fidzup et Teemo et en octobre la société Singlespot. Teemo a déjà régularisé sa situation.

Vectaury a trois mois pour se mettre en conformité dans le recueil des consentements, faute de quoi elle risque une sanction de la Cnil.

Dans un communiqué, elle a fait savoir qu'elle comptait "répondre dans les prochains jours aux demandes" de la Cnil et "achever son processus de mise en conformité".

"Respecter la vie privée des utilisateurs relève du bon sens et de l'éthique et pas seulement d'une obligation juridique", a affirmé son directeur général Matthieu Daguenet.

Emmanuel Brunet, patron d'Eulerian Technologies qui mesure l'efficacité des campagnes de publicité numérique, n'a pas été surpris de cette nouvelle mise en demeure de la Cnil, après celles de Teemo, Fidzup et Singlespot.

"Il était logique que la Cnil adopte le même comportement vis à vis des autres sociétés du secteur afin que tous les acteurs respectent les mêmes règles", a-t-il indiqué à l'AFP.

Teemo notamment "a été très attaquée" médiatiquement après sa mise en cause et cela a eu "un impact très significatif sur ses activités commerciales" avant qu'elle ne régularise sa situation, a-t-il expliqué.

Vectaury et ses concurrentes intègrent des morceaux de code, des "SDK" dans le jargon informatique, dans les applications pour mobile distribuées par ses sociétés partenaires - des chaînes de distribution par exemple.

Ces SDK permettent de collecter l'identifiant publicitaire des smartphones et des données de géolocalisation et ce même lorsque les applications ne fonctionnent pas.

Ils permettent ainsi l'affichage de publicités ciblées sur l'écran des smartphones, incitant par exemple à se rendre dans un magasin à proximité.

La Cnil reproche aux sociétés concernées de ne pas demander suffisamment clairement le consentement des personnes dont les smartphones sont ainsi "suivis" par les régies publicitaires internet.

La Cnil, entre autres griefs, reproche ainsi à Vectaury de ne pas informer "systématiquement" les internautes qui téléchargent telle ou telle application mobile que celle-ci contient le SDK Vectaury qui collecte leurs données de localisation.

"Il n'est par ailleurs pas toujours possible, pour l'utilisateur, de télécharger l'application mobile sans activer le SDK", a également relevé la Cnil.

- Enchères publicitaires en temps réel -

Dans le cas de Vectaury, la Cnil lui reproche aussi d'exploiter sans consentement valable des données d'internautes recueillies lors des offres d'enchères publicitaires en temps réel.

En quelques secondes, ces systèmes automatisés permettent de détecter qu'un internaute présentant tel ou profil de consommation est en ligne et de mettre aux enchères auprès des annonceurs le message publicitaire qu'il est possible de lui adresser.

Au total, Vectaury a ainsi recueilli grâce à ce système "plus de 42 millions d'identifiants publicitaires et les données de géolocalisation à partir de plus de 32.000 applications", selon la Cnil.

Pour échapper à la sanction, Vectaury devra mettre en place des demandes de consentement valables, mais aussi "supprimer les données indûment collectées", a précisé l'institution publique.

Fondée en octobre 2014, Vectaury emploie environ 70 personnes mais compte rapidement doubler ses effectifs, après une levée de fonds de 20 millions d'euros début octobre.

Elle dit "travailler avec plus de 100 marques et agences, avec la capacité de toucher plus de 25 millions de profils qualifiés en France".

"Vectaury a toujours travaillé pour allier performance publicitaire et protection de la vie privée des utilisateurs", a-t-elle assuré dans son communiqué.

"Seules les données dites utiles sont collectées" et "elles sont chiffrées et floutées pour un maximum de sécurité", s'est elle défendue.

(©AFP / 09 novembre 2018 13h52)
News les plus lues