[Brève] La CNIL met en demeure Fidzup et Teemo de recueillir le consentement des utilisateurs

Mobile

<p>La CNIL a dans le collimateur les deux solutions SDK de publicité en ligne Fidzup et Teemo. Ces dernières doivent récupérer le consentement des utilisateurs finaux de leur service, comme le prévoit le RGPD.</p>

<p>[MàJ] Fidzup a donné un droit de réponse à la CNIL.</p>

La Commission Nationale Informatique et Libertés (CNIL) a décidé de mettre en application ses pouvoirs renforcés grâce au RGPD. Les sociétés Fidzup et Teemo sont les premières cibles identifiées.

Les deux sociétés fournissent des outils techniques (SDK) aux développeurs d'applications mobiles pour fournir des publicités intégrées en collectant les données des appareils. Teemo fournit un SDK collectant l'identifiant publicitaire de l'appareil et les données de géolocalisation toutes les 5 minutes pour afficher des publicités de partenaires proches des lieux visités. Fidzup utilise un SDK pour collecter l'identifiant publicitaire et l'adresse MAC de l'appareil et de les croiser avec les données récupérées par les boîtiers FidBox fournis aux commerçants partenaires pour la géolocalisation de l'utilisateur.

Teemo et Fidzup indiquent avoir le consentement des personnes concernées, mais les vérifications de la CNIL ont révélé l'absence de consentement. Lors du téléchargement et/ou de l'installation, les applications partenaires de Teemo n'informent pas leurs usagers de la collecte par le SDK tandis que les applications partenaires de Fidzup n'informent leurs utilisateurs que dans les CGU accessibles après l'installation. De plus, les applications partenaires ne sont pas utilisables sans les SDK des deux compagnies. La CNIL a aussi constaté que Teemo conserve les données pendant 13 mois, bien au-delà des préconisations de la loi.

Fidzup est utilisé pour les campagnes de plusieurs marques : Adida, FNAC, Ford, Gémo, Renault, Samsung, Petit Bateau, Bricoman, Buffalo Grill et Jacadi. Teemo a été utilisé par plusieurs marques connues : Kusmi Tea, Brico Dépôt, Leader Price, Vivarte, Mobalpa, Gautier, Toys'R'us, Intersport, Volkswagen et Systèmes U via la régie MyMedia. Aucun des deux services n'indiquent les applications partenaires.

La CNIL donne trois mois à Teemo et Fidzup pour revoir le consentement de leur SDK, ou du moins, via le consentement donné aux applications partenaires.

MàJ : Olivier Magnan-Saurin, CEO et co-fondateur de Fidzup, et son équipe ont souhaité répondre à cette mise en demeure : 

« Nous travaillons sur l'évolution de notre méthode de récolte du consentement depuis le début de l'année 2017. La mise en demeure publiée ce jour date d'un contrôle effectué à l'été 2017, moment où ce travail n'était pas encore finalisé et où nous considérions intervenir en tant que sous-traitant de nos partenaires éditeurs. Nous proposions alors le pop-up en option et ne l’imposions pas à nos partenaires. Depuis Fidzup a terminé le nouveau pop-up de récolte du consentement demandé par la CNIL et l'a prescrit à 100% de ses éditeurs partenaires. Nous allons donc notifier la CNIL en ce sens et sommes confiants sur une issue rapide et positive. Par ailleurs cette mise en demeure fait suite à un contrôle plus global de nos activités, qui se trouvent donc validées dans leur ensemble sous réserve de cette demande de pop-up de la CNIL. Nous sommes ravis de cette clarification du régime juridique applicable, que nous sollicitions depuis longtemps. »

Commentaires