Les start-up sont tenues aux mêmes obligations en matière de collecte et de traitement des données à caractère personnel que les autres entités de la vie économique. Elles n’ont cependant pas les mêmes ressources à dédier à leur mise en conformité.
Cela n’a pas empêché la Cnil, pour la troisième fois cette année, de mettre en demeure une start-up pour absence de recueil du consentement des utilisateurs au traitement des données de géolocalisation à des fins de ciblage publicitaire.
En juillet 2018, elle avait déjà reproché à deux start-up de recueillir les données des utilisateurs via des applications de sociétés partenaires, alors même que ceux-ci n’étaient pas en train d’utiliser les applications en question. Ces données permettaient ensuite aux enseignes partenaires de proposer des publicités ciblées aux potentiels clients localisés près de leurs établissements.
Si l’une des deux start-up mises en demeure de se conformer aux dispositions du RGPD a récemment procédé à des modifications qui ont conduit à la levée de la mise en demeure la concernant, une troisième start-up, Singlespot, est désormais concernée par une mise en demeure de la CNIL et dispose de trois mois pour procéder à sa mise en conformité.
Le défaut de conformité dans la collecte du consentement des utilisateurs provient de l’activation des « SDK », outil de géolocalisation et de collecte intégrés dans le code des applications des partenaires. Ces outils permettent notamment de collecter les données des utilisateurs des téléphones sur lesquels ils sont installés (pratique de consommation, loisirs, lieu de travail, etc.).
Les données collectées sont ensuite mises en relation avec des points d’intérêts déterminés par les partenaires. Ceux-ci peuvent alors envoyer des publicités ciblées sur les téléphones des utilisateurs à partir des lieux qu’ils ont visités.
La société Singlespot a indiqué recueillir le consentement de ses utilisateurs mais la Cnil lui a opposé que ce consentement n’était pas valablement recueilli : les utilisateurs ne sont en effet pas toujours informés de la collecte des informations de géolocalisation par le « SDK » lors du téléchargement des applications partenaires, ni de la finalité de ciblage publicitaire du traitement mis en œuvre, ni de l’identité du responsable de ce traitement. La Cnil a également souligné que la finalité indiquée de la collecte ne permettait pas de distinguer entre l’utilisation des données collectées pour faire fonctionner l’application de celle collectées pour procéder à un ciblage publicitaire.
Afin de clarifier les obligations des start-up en matière de conformité avec la réglementation sur la protection des données à caractère personnel, la Cnil développe depuis un an des activités pour mieux comprendre et anticiper leurs besoins. Plusieurs dizaines d’ateliers permettant de fournir rapidement des réponses aux principales questions ont déjà été organisés depuis le début de l’année.
Ces ateliers ont une vocation généraliste et peuvent couvrir des sujets tels que le RGPD, les données de santé ou la sécurité. Cet accompagnement est pensé de façon à ce que les start-up mettent en place le principe de « privacy by design » et que la réglementation relative à la protection des données à caractère personnel ne constitue pas, à terme, une entrave à leur développement.
La Cnil envisage également la mise en ligne début 2019 de documentations et de matériel pédagogiques qui permettront aux start-up dont les ressources ne sont pas toujours suffisantes de prendre conscience de l’enjeu de la protection des données et de se prémunir contre les sanctions.