Par deux décisions rendues les 8 et 30 octobre 2018, la Commission nationale de l’informatique et des libertés (la « CNIL ») a mis en demeure deux sociétés exploitantes de « SDK » (les « Sociétés ») de se conformer à la loi informatique et libertés. Ces décisions sont l’occasion de rappeler en quoi des SDK permettent de collecter des données à caractère personnel et sous la responsabilité de qui ; nous verrons ensuite quels manquements la CNIL a relevé à l’encontre des exploitants de ces applications.

1. DES EXPLOITANTS DE SDK QUALIFIES DE « RESPONSABLES DE TRAITEMENT » (« RT ») DE DONNEES A CARACTERE PERSONNEL

2. LES NOMBREUX MANQUEMENTS RELEVES PAR LA CNIL

3. Considérant que ces deux traitements ne pouvaient s’appuyer, comme base légale, que sur le consentement (et s’appuyant, ici encore, sur la position exprimée par les Sociétés mises en cause), la CNIL a relevé plusieurs manquements concernant :

(i) l’absence de validité du consentement, en soulignant que celui-ci n’est :

(i.1) ni éclairé, car « au moment de l’installation de l’application […], les personnes ne sont pas informées de la collecte de leurs données de géolocalisation via le SDK à des fins de profilage des utilisateurs et de ciblage publicitaire » (1) ;
(i.2) ni spécifique, car « le fait de présenter l’ensemble des finalités en offrant seulement à l’utilisateur la possibilité d’accepter en bloc ne permet pas de donner un consentement spécifique pour l’utilisation du SDK » (2) ;
(i.3) ni univoque (exprès), car « aucune des options ne propose clairement à l’utilisateur de refuser la collecte et le traitement de ses données à caractère personnel » (3) ;

(ii) une durée de conservation excessive, en observant que « la durée de conservation de 13 mois de telles données est excessive au regard de sa finalité de profilage et de ciblage publicitaire » (4) ;

(iii) des mesures de sécurité insuffisantes, en notant que « l’utilisation de données à caractère personnel réelles pour les phases de développement et de test présente un risque pour celles-ci, notamment en cas de perte, de modification non autorisée, d’erreur ou d’accès par des personnes non autorisées » (5) .

2.1. Un traitement sans base légale

4. Pour la CNIL, le Traitement contesté ne peut pas être fondé sur un consentement qui ne soit pas informé, libre, univoque et spécifique. Toutes ces qualités faisaient défaut en l’espèce.

5. Un consentement non éclairé. La CNIL constate d’abord l’insuffisance de l’information délivrée par les Sociétés. Elle rappelle ainsi que l’information doit être délivrée en termes clairs et précis. Les tournures de phrases ambiguës ou évasives sont donc à proscrire puisqu’elles ne permettent pas à l’utilisateur de comprendre précisément ce à quoi il consent. La CNIL rappelle ensuite l’obligation pour le RT de délivrer l’ensemble des informations imposées par le RGPD au plus tard au moment du consentement. La CNIL sanctionne ici les Sociétés qui, pour ne pas décourager les utilisateurs, résument de façon condensée le contenu de l’information, et renvoient sur une page différente pour accéder à l’information complète, « dans la politique de confidentialité qui n’est accessible aux personnes qu’après l’installation de l’application et du SDK » (6) . Le RT ne peut donc pas, même pour des raisons pratiques, délivrer l’information complète tardivement.

6. Un consentement non univoque. La CNIL rappelle que l’acceptation de l’ensemble des finalités par le biais de cases pré-cochées ne peut être considérée comme l’expression d’un consentement valable. Pour mémoire, le consentement doit être exprimé par une action positive. Le G29 a d’ailleurs précisé dans un avis qu’« un consentement fondé sur l’inaction ou le silence de la personne concernée, en particulier dans l’environnement en ligne, ne constituait pas un consentement valable » . (7)

7. Enfin, c’est sans surprise que la CNIL relève le caractère non équivoque d’un consentement reposant sur un choix qui ne permet pas de refuser le Traitement contesté. On se souviendra que, pour le G29, le consentement ne constitue une base juridique appropriée que si la personne concernée dispose d’un contrôle et d’un choix réel concernant l’acceptation ou le refus des conditions proposées (8). Dès lors, la formule « J’accepte ou plus tard » n’est pas appropriée.

8. Un consentement non spécifique. Pour être spécifique le consentement doit être donné pour chacune des finalités du traitement. Or, le fait pour les Sociétés de présenter brièvement les finalités de cliquer sur des boutons « J’accepte » ou « Je refuse » imposant ainsi à l’utilisateur un consentement général et « en bloc » ne permet pas d’obtenir leur consentement spécifique au traitement de leurs données à des fins de profilage et de ciblage publicitaire, condition exigée par l’article 6 du RGPD.

9. La CNIL met par conséquent en demeure l’une des Sociétés de procéder à la purge des données obtenues sans base légale. L’injonction de suppression concerne l’ensemble des données collectées par le biais du SDK, avant la mise en conformité de la Société, ce qui aura des conséquences pratiques considérables.

2.2. L’absence de politique de conservation des données

10. La CNIL considère que la conservation de données de géolocalisation des utilisateurs pendant treize (13) mois est excessive au regard de la finalité de profilage et de ciblage publicitaire.
La CNIL considère que « l’utilisation de dispositifs de géolocalisation étant particulièrement intrusive au regard des libertés individuelles, dans la mesure où ils permettent de suivre de manière permanente et en temps réel des personnes, aussi bien dans des espaces publics que dans des lieux privés » . Elle en conclut que « les données collectées ne peuvent être conservées que pour une durée strictement proportionnée à la finalité du traitement qui a justifié cette localisation ». Or, en l’espèce la CNIL relève que « la conservation par la société de toutes les données de géolocalisation des utilisateurs au-delà du temps nécessaire à la réalisation de l’opération de correspondance entre les données collectées et les zones géographiques POIs est excessive au regard de la finalité de ciblage publicitaire du traitement ».

2.3. Le manquement à l’obligation d’assurer la sécurité et la confidentialité des données

11. La CNIL sanctionne à double titre l’utilisation, par l’une des Sociétés, de données à caractère personnel réelles pour des phases de développement et de test. Elle considère en premier lieu que cette utilisation constitue un manquement à l’article 32-1 b) du RGPD imposant au RT de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, puisque l’utilisation de données pour des phases de développement et de test présente un risque en cas de perte, de modification non autorisée, d’erreur ou d’accès par des personnes non autorisées.

12. La CNIL relève également que la possibilité pour les équipes de développement et de tests d’avoir accès aux données issues de la base de production contrevient au principe de sectorisation des données qui permet de considérer que seules les personnes étant habilitées par leurs fonctions à intervenir dans le traitement peuvent être rendues destinataires des données qui s’y rapportent.

13. Le 29 novembre dernier, la CNIL a clôturé sa mise en demeure à l’encontre de l’une des deux sociétés, celle-ci s’étant mise en conformité.

(1) Délib. CNIL MED-2018-042 du 30 octobre 2018 ;
(2) Délib. CNIL MED-2018-043 du 8 octobre 2018.
(3) Délib. CNIL MED-2018-043 du 8 octobre 2018 ;
(4) Délib. CNIL MED-2018-043 uniquement ;
(5) Délib. CNIL MED-2018-043 uniquement ;
(6) Délib. CNIL MED-2018-043 uniquement ;
(7) Avis 15/2011 du 13 juillet 2011 ;
(8) Lignes directrices WP 259 sur le consentement adoptées le 28 novembre 2017.
(9) Délib. CNIL MED-2018-043 uniquement.

Rédigé par