Les SDK sur la sellette !
K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Matthieu Bourgeois, Lisa Bataille, 28/11/2018
Par deux décisions rendues les 8 et 30 octobre 2018, la Commission nationale de l’informatique et des libertés (la « CNIL ») a mis en demeure deux sociétés exploitantes de « SDK » (les « Sociétés ») de se conformer à la loi informatique et libertés. Ces décisions sont l’occasion de rappeler en quoi des SDK permettent de collecter des données à caractère personnel et sous la responsabilité de qui ; nous verrons ensuite quels manquements la CNIL a relevé à l’encontre des exploitants de ces applications.
1. DES EXPLOITANTS DE SDK QUALIFIES DE « RESPONSABLES DE TRAITEMENT » (« RT ») DE DONNEES A CARACTERE PERSONNEL
1. Pour rappel, « SDK » est l'acronyme anglais pour « Software Development Kit » et désigne une suite logicielle intégrée dans des applications mobiles (les « Applications ») – en exécution de contrats conclus entre les éditeurs de celle-ci et les Sociétés – permettant généralement la géolocalisation puis l’analyse des déplacements de leurs utilisateurs, à des fins d’études marketing et d’envoi de publicités ciblées. Dans ces décisions, la CNIL a constaté que les Sociétés mettaient en œuvre trois traitements distincts :
a) l’intégration du SDK dans le code des Applications développées par des sociétés partenaires afin de collecter et transférer en arrière-plan aux Sociétés des données de géolocalisation,
b) le croisement, par les Sociétés, des données de géolocalisation collectées et transférées avec des points d’intérêts (ou « POIs » – déterminés en concertation avec des clients annonceurs de publicité) qui correspondent à des coordonnées géographiques de lieux permettant de révéler un profil de consommateur (le « Traitement contesté ») ; et
(c) la réalisation de campagnes marketing à travers l’achat d’espaces publicitaires pour le compte de clients annonceurs.
2. Après avoir relevé que l’identifiant publicitaire est une données à caractère personnel (« l’identifiant publicitaire est (…) unique (…) permettant d’identifier le terminal de l’utilisateur de façon stable dans le temps »), et s’appuyant notamment sur la position exprimée par les Sociétés mises en cause, la CNIL a considéré que ces dernières (qui se considéraient comme tel auprès de la Commission) revêtaient la qualification de « responsables » du Traitement contesté [b) supra], en relevant qu’elles traitaient pour leur « propre compte les données à caractère personnel collectées via le SDK pour vendre des services d’analyse ou de profilage auprès de (…) clients annonceurs ».
a) l’intégration du SDK dans le code des Applications développées par des sociétés partenaires afin de collecter et transférer en arrière-plan aux Sociétés des données de géolocalisation,
b) le croisement, par les Sociétés, des données de géolocalisation collectées et transférées avec des points d’intérêts (ou « POIs » – déterminés en concertation avec des clients annonceurs de publicité) qui correspondent à des coordonnées géographiques de lieux permettant de révéler un profil de consommateur (le « Traitement contesté ») ; et
(c) la réalisation de campagnes marketing à travers l’achat d’espaces publicitaires pour le compte de clients annonceurs.
2. Après avoir relevé que l’identifiant publicitaire est une données à caractère personnel (« l’identifiant publicitaire est (…) unique (…) permettant d’identifier le terminal de l’utilisateur de façon stable dans le temps »), et s’appuyant notamment sur la position exprimée par les Sociétés mises en cause, la CNIL a considéré que ces dernières (qui se considéraient comme tel auprès de la Commission) revêtaient la qualification de « responsables » du Traitement contesté [b) supra], en relevant qu’elles traitaient pour leur « propre compte les données à caractère personnel collectées via le SDK pour vendre des services d’analyse ou de profilage auprès de (…) clients annonceurs ».
2. LES NOMBREUX MANQUEMENTS RELEVES PAR LA CNIL
3. Considérant que ces deux traitements ne pouvaient s’appuyer, comme base légale, que sur le consentement (et s’appuyant, ici encore, sur la position exprimée par les Sociétés mises en cause), la CNIL a relevé plusieurs manquements concernant :
(i) l’absence de validité du consentement, en soulignant que celui-ci n’est :
(i.1) ni éclairé, car « au moment de l’installation de l’application […], les personnes ne sont pas informées de la collecte de leurs données de géolocalisation via le SDK à des fins de profilage des utilisateurs et de ciblage publicitaire » (1) ;
(i.2) ni spécifique, car « le fait de présenter l’ensemble des finalités en offrant seulement à l’utilisateur la possibilité d’accepter en bloc ne permet pas de donner un consentement spécifique pour l’utilisation du SDK » (2) ;
(i.3) ni univoque (exprès), car « aucune des options ne propose clairement à l’utilisateur de refuser la collecte et le traitement de ses données à caractère personnel » (3) ;
(ii) une durée de conservation excessive, en observant que « la durée de conservation de 13 mois de telles données est excessive au regard de sa finalité de profilage et de ciblage publicitaire » (4) ;
(iii) des mesures de sécurité insuffisantes, en notant que « l’utilisation de données à caractère personnel réelles pour les phases de développement et de test présente un risque pour celles-ci, notamment en cas de perte, de modification non autorisée, d’erreur ou d’accès par des personnes non autorisées » (5) .
(i) l’absence de validité du consentement, en soulignant que celui-ci n’est :
(i.1) ni éclairé, car « au moment de l’installation de l’application […], les personnes ne sont pas informées de la collecte de leurs données de géolocalisation via le SDK à des fins de profilage des utilisateurs et de ciblage publicitaire » (1) ;
(i.2) ni spécifique, car « le fait de présenter l’ensemble des finalités en offrant seulement à l’utilisateur la possibilité d’accepter en bloc ne permet pas de donner un consentement spécifique pour l’utilisation du SDK » (2) ;
(i.3) ni univoque (exprès), car « aucune des options ne propose clairement à l’utilisateur de refuser la collecte et le traitement de ses données à caractère personnel » (3) ;
(ii) une durée de conservation excessive, en observant que « la durée de conservation de 13 mois de telles données est excessive au regard de sa finalité de profilage et de ciblage publicitaire » (4) ;
(iii) des mesures de sécurité insuffisantes, en notant que « l’utilisation de données à caractère personnel réelles pour les phases de développement et de test présente un risque pour celles-ci, notamment en cas de perte, de modification non autorisée, d’erreur ou d’accès par des personnes non autorisées » (5) .
2.1. Un traitement sans base légale
4. Pour la CNIL, le Traitement contesté ne peut pas être fondé sur un consentement qui ne soit pas informé, libre, univoque et spécifique. Toutes ces qualités faisaient défaut en l’espèce.
5. Un consentement non éclairé. La CNIL constate d’abord l’insuffisance de l’information délivrée par les Sociétés. Elle rappelle ainsi que l’information doit être délivrée en termes clairs et précis. Les tournures de phrases ambiguës ou évasives sont donc à proscrire puisqu’elles ne permettent pas à l’utilisateur de comprendre précisément ce à quoi il consent. La CNIL rappelle ensuite l’obligation pour le RT de délivrer l’ensemble des informations imposées par le RGPD au plus tard au moment du consentement. La CNIL sanctionne ici les Sociétés qui, pour ne pas décourager les utilisateurs, résument de façon condensée le contenu de l’information, et renvoient sur une page différente pour accéder à l’information complète, « dans la politique de confidentialité qui n’est accessible aux personnes qu’après l’installation de l’application et du SDK » (6) . Le RT ne peut donc pas, même pour des raisons pratiques, délivrer l’information complète tardivement.
6. Un consentement non univoque. La CNIL rappelle que l’acceptation de l’ensemble des finalités par le biais de cases pré-cochées ne peut être considérée comme l’expression d’un consentement valable. Pour mémoire, le consentement doit être exprimé par une action positive. Le G29 a d’ailleurs précisé dans un avis qu’« un consentement fondé sur l’inaction ou le silence de la personne concernée, en particulier dans l’environnement en ligne, ne constituait pas un consentement valable » . (7)
7. Enfin, c’est sans surprise que la CNIL relève le caractère non équivoque d’un consentement reposant sur un choix qui ne permet pas de refuser le Traitement contesté. On se souviendra que, pour le G29, le consentement ne constitue une base juridique appropriée que si la personne concernée dispose d’un contrôle et d’un choix réel concernant l’acceptation ou le refus des conditions proposées (8). Dès lors, la formule « J’accepte ou plus tard » n’est pas appropriée.
8. Un consentement non spécifique. Pour être spécifique le consentement doit être donné pour chacune des finalités du traitement. Or, le fait pour les Sociétés de présenter brièvement les finalités de cliquer sur des boutons « J’accepte » ou « Je refuse » imposant ainsi à l’utilisateur un consentement général et « en bloc » ne permet pas d’obtenir leur consentement spécifique au traitement de leurs données à des fins de profilage et de ciblage publicitaire, condition exigée par l’article 6 du RGPD.
9. La CNIL met par conséquent en demeure l’une des Sociétés de procéder à la purge des données obtenues sans base légale. L’injonction de suppression concerne l’ensemble des données collectées par le biais du SDK, avant la mise en conformité de la Société, ce qui aura des conséquences pratiques considérables.
5. Un consentement non éclairé. La CNIL constate d’abord l’insuffisance de l’information délivrée par les Sociétés. Elle rappelle ainsi que l’information doit être délivrée en termes clairs et précis. Les tournures de phrases ambiguës ou évasives sont donc à proscrire puisqu’elles ne permettent pas à l’utilisateur de comprendre précisément ce à quoi il consent. La CNIL rappelle ensuite l’obligation pour le RT de délivrer l’ensemble des informations imposées par le RGPD au plus tard au moment du consentement. La CNIL sanctionne ici les Sociétés qui, pour ne pas décourager les utilisateurs, résument de façon condensée le contenu de l’information, et renvoient sur une page différente pour accéder à l’information complète, « dans la politique de confidentialité qui n’est accessible aux personnes qu’après l’installation de l’application et du SDK » (6) . Le RT ne peut donc pas, même pour des raisons pratiques, délivrer l’information complète tardivement.
6. Un consentement non univoque. La CNIL rappelle que l’acceptation de l’ensemble des finalités par le biais de cases pré-cochées ne peut être considérée comme l’expression d’un consentement valable. Pour mémoire, le consentement doit être exprimé par une action positive. Le G29 a d’ailleurs précisé dans un avis qu’« un consentement fondé sur l’inaction ou le silence de la personne concernée, en particulier dans l’environnement en ligne, ne constituait pas un consentement valable » . (7)
7. Enfin, c’est sans surprise que la CNIL relève le caractère non équivoque d’un consentement reposant sur un choix qui ne permet pas de refuser le Traitement contesté. On se souviendra que, pour le G29, le consentement ne constitue une base juridique appropriée que si la personne concernée dispose d’un contrôle et d’un choix réel concernant l’acceptation ou le refus des conditions proposées (8). Dès lors, la formule « J’accepte ou plus tard » n’est pas appropriée.
8. Un consentement non spécifique. Pour être spécifique le consentement doit être donné pour chacune des finalités du traitement. Or, le fait pour les Sociétés de présenter brièvement les finalités de cliquer sur des boutons « J’accepte » ou « Je refuse » imposant ainsi à l’utilisateur un consentement général et « en bloc » ne permet pas d’obtenir leur consentement spécifique au traitement de leurs données à des fins de profilage et de ciblage publicitaire, condition exigée par l’article 6 du RGPD.
9. La CNIL met par conséquent en demeure l’une des Sociétés de procéder à la purge des données obtenues sans base légale. L’injonction de suppression concerne l’ensemble des données collectées par le biais du SDK, avant la mise en conformité de la Société, ce qui aura des conséquences pratiques considérables.
2.2. L’absence de politique de conservation des données
10. La CNIL considère que la conservation de données de géolocalisation des utilisateurs pendant treize (13) mois est excessive au regard de la finalité de profilage et de ciblage publicitaire.
La CNIL considère que « l’utilisation de dispositifs de géolocalisation étant particulièrement intrusive au regard des libertés individuelles, dans la mesure où ils permettent de suivre de manière permanente et en temps réel des personnes, aussi bien dans des espaces publics que dans des lieux privés » . Elle en conclut que « les données collectées ne peuvent être conservées que pour une durée strictement proportionnée à la finalité du traitement qui a justifié cette localisation ». Or, en l’espèce la CNIL relève que « la conservation par la société de toutes les données de géolocalisation des utilisateurs au-delà du temps nécessaire à la réalisation de l’opération de correspondance entre les données collectées et les zones géographiques POIs est excessive au regard de la finalité de ciblage publicitaire du traitement ».
La CNIL considère que « l’utilisation de dispositifs de géolocalisation étant particulièrement intrusive au regard des libertés individuelles, dans la mesure où ils permettent de suivre de manière permanente et en temps réel des personnes, aussi bien dans des espaces publics que dans des lieux privés » . Elle en conclut que « les données collectées ne peuvent être conservées que pour une durée strictement proportionnée à la finalité du traitement qui a justifié cette localisation ». Or, en l’espèce la CNIL relève que « la conservation par la société de toutes les données de géolocalisation des utilisateurs au-delà du temps nécessaire à la réalisation de l’opération de correspondance entre les données collectées et les zones géographiques POIs est excessive au regard de la finalité de ciblage publicitaire du traitement ».
2.3. Le manquement à l’obligation d’assurer la sécurité et la confidentialité des données
11. La CNIL sanctionne à double titre l’utilisation, par l’une des Sociétés, de données à caractère personnel réelles pour des phases de développement et de test. Elle considère en premier lieu que cette utilisation constitue un manquement à l’article 32-1 b) du RGPD imposant au RT de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, puisque l’utilisation de données pour des phases de développement et de test présente un risque en cas de perte, de modification non autorisée, d’erreur ou d’accès par des personnes non autorisées.
12. La CNIL relève également que la possibilité pour les équipes de développement et de tests d’avoir accès aux données issues de la base de production contrevient au principe de sectorisation des données qui permet de considérer que seules les personnes étant habilitées par leurs fonctions à intervenir dans le traitement peuvent être rendues destinataires des données qui s’y rapportent.
(1) Délib. CNIL MED-2018-042 du 30 octobre 2018 ;
(2) Délib. CNIL MED-2018-043 du 8 octobre 2018.
(3) Délib. CNIL MED-2018-043 du 8 octobre 2018 ;
(4) Délib. CNIL MED-2018-043 uniquement ;
(5) Délib. CNIL MED-2018-043 uniquement ;
(6) Délib. CNIL MED-2018-043 uniquement ;
(7) Avis 15/2011 du 13 juillet 2011 ;
(8) Lignes directrices WP 259 sur le consentement adoptées le 28 novembre 2017.
(9) Délib. CNIL MED-2018-043 uniquement.
12. La CNIL relève également que la possibilité pour les équipes de développement et de tests d’avoir accès aux données issues de la base de production contrevient au principe de sectorisation des données qui permet de considérer que seules les personnes étant habilitées par leurs fonctions à intervenir dans le traitement peuvent être rendues destinataires des données qui s’y rapportent.
(1) Délib. CNIL MED-2018-042 du 30 octobre 2018 ;
(2) Délib. CNIL MED-2018-043 du 8 octobre 2018.
(3) Délib. CNIL MED-2018-043 du 8 octobre 2018 ;
(4) Délib. CNIL MED-2018-043 uniquement ;
(5) Délib. CNIL MED-2018-043 uniquement ;
(6) Délib. CNIL MED-2018-043 uniquement ;
(7) Avis 15/2011 du 13 juillet 2011 ;
(8) Lignes directrices WP 259 sur le consentement adoptées le 28 novembre 2017.
(9) Délib. CNIL MED-2018-043 uniquement.