Infos - Souscription

09 75 18 80 51

[Brève] La CNIL met en demeure Vectaury

Logo CNIL

Après Fidzup, SingleSpot et Teemo, la CNIL s'attaque à l'absence de consentement de Vectaury. Ce dernier permet de récupérer les données de géolocalisation pour des fins de ciblage publicitaire dans les applications mobile. Vectaury demande à ses clients d'obtenir l'accord des utilisateurs de ces apps partenaires pour utiliser leurs données de géolocalisation.

Ces derniers temps, la CNIL a mis en demeure les solutions de SDK publicitaire Fidzup et Teemo puis SingleSpot. Teemo s'est, depuis, mis en conformité. Mais un de leurs concurrents, Vectaury, est maintenant mis en demeure par la CNIL.

Les quatre sociétés fournissent des outils techniques (SDK) aux développeurs d'applications mobiles pour fournir des publicités intégrées en collectant les données des appareils. Comme Teemo et SingleSpot, Vectaury fournit un SDK collectant l'identifiant publicitaire de l'appareil et les données de géolocalisation pour afficher des publicités de partenaires proches des lieux visités. Vectaury propose également des enchères en temps réel pour les publicités à afficher. Le SDK est utilisé par plus de 32 000 applications Android et iOS tandis que quelques marques (Volkswagen, Nissan, Monoprix, E.Leclerc, Systèmes U, L'Oréal, Marionnaud, Bouygues Telecom et Eram) l'utilisent pour attirer les futurs clients.

Vectaury indique avoir le consentement des personnes concernées, mais les vérifications de la CNIL ont révélé l'absence de consentement. Lors du téléchargement et/ou de l'installation, les applications partenaires n'informent pas leurs usagers de la collecte par le SDK et n'informent leurs utilisateurs que dans les CGU accessibles après l'installation. De plus, les applications partenaires ne sont pas utilisables sans les SDK de la compagnie et certaines applications ne permettent pas la distinction entre l'usage propre à l'application et celui pour SingleSpot des données de géolocalisation. La CNIL a également découvert que les données stockées n'avaient pas de date de fin.

Vectaury a récemment proposé la mise en place d'un système de recueil du consentement mais les partenaires ne l'implémentent pas dans leur application. Ce système n'est toujours pas suffisant dans le refus de la collecte des données de géolocalisation pour la CNIL. Si le système informe les utilisateurs pour les données récoltées par le SDK, il n'informe pas de la finalité concernant les enchères en temps réel.

La CNIL demande à SingleSpot de se conformer à toutes les règles du RGPD et de la loi Informatique et Liberté dans les 3 mois.