Passer au contenu

La CNIL épingle une société qui géolocalise des dizaines de millions de personnes

Spécialisée dans le ciblage publicitaire, Vectaury intègre des modules de géolocalisation dans des applications mobiles de la grande distribution pour établir le profil consommateur des clients. Mais l’information et le recueil du consentement de cette collecte de données étaient défaillants.

Basée à Paris, Vectaury est une société marketing totalement inconnue des consommateurs grand public. Par contre, Vectaury connaît particulièrement bien ces derniers. Elle en géolocalise plus de cinq millions toutes les cinq minutes au travers d’un kit de développement (SDK) intégré dans les applications mobiles de ses clients, comme l’a constaté une délégation de la CNIL en avril dernier. Et ce n’est pas tout. Vectaury reçoit également de façon plus ou moins régulière des données de géolocalisation de plus de 42 millions d’utilisateurs de smartphone grâce à des systèmes d’enchères qui permettent d’acheter de l’espace publicitaire dans plus de 32.000 applications mobiles.  

Aux prochains Big Brother Awards, Vectaury a toutes les chances de recevoir un prix, car toutes ces données n’ont pas été récoltées et traitées dans les règles de l’art. D’après la CNIL, la société a manqué à l’obligation de recueil du consentement. Au niveau des données issues du SDK, l’utilisateur « n’est informé ni de la finalité de ciblage publicitaire, ni de l’identité du responsable de traitement » et il ne peut pas « télécharger l’application mobile sans activer le SDK », explique l’autorité. Par la suite, Vectaury a mis en place un système de recueil de consentement, mais la CNIL observe que celui-ci « n’est pas systématiquement implémenté dans les applications » et que « l’information donnée à l’utilisateur est insuffisante ».

Monoprix, E.Leclerc, U, L’Oréal, Marionnaud…

Les données du SDK sont collectées auprès d’une vingtaine d’applications mobiles éditées par cinq sociétés partenaires. Ces sociétés ne sont pas nommées dans les textes de la CNIL. Sur son site web, Vectaury indique toutefois travailler entre autres avec Volkswagen, Nissan, Monoprix, E.Leclerc, U, L’Oréal, Marionnaud, Bouygues et Eram. Toutes ces marques font appel à Vectaury pour suivre leurs clients à la trace et établir leur profil de consommation.

Mais le véritable pavé que la CNIL jette dans la mare concerne les données de géolocalisation issues des systèmes d’enchères. Celles-ci proviennent d’applications mobiles sur lesquelles Vectaury n’a en fait aucune prise. L’entreprise a essayé de se retrancher derrière une clause contractuelle signée avec les fournisseurs d’enchères, mais la CNIL constate que Vectaury « n’est pas en mesure de démontrer que les données collectées par le biais des offres d’enchères en temps réel sont, actuellement, systématiquement l’objet d’un consentement informé, libre, spécifique et activement manifesté ». Au passage, on remarque donc que ces systèmes d’enchères ne disposent pas d’une véritable chaîne de consentement et que toutes ces données sont partagées de manière un peu sauvage. Une situation qui, finalement, éclabousse tout le secteur de la publicité en ligne.

Prouver le consentement risque d’être compliqué

Dans sa mise en demeure, la CNIL ordonne Vectaury de purger les données obtenues sans le consentement adéquat et de ne plus procéder « sans base légale au traitement des données de géolocalisation des personnes à des fins de ciblage publicitaire ». Cela ne devrait pas poser un grand problème pour les données issues du SDK, mais pour les systèmes d’enchères c’est une autre histoire, étant donné le nombre d’intermédiaires qui peuvent parfois être impliqués. A défaut d’une chaîne de consentement bien huilée, il sera bien difficile d’apporter une preuve de consentement pour les données de chacun des 42 millions d’utilisateurs qui se trouvent dans la base de Vectaury.     

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN