Suite à la publication par le co-fondateur de Fidzup d'un article expliquant que sa société fermait à cause de la mise en demeure de la CNIL, l'autorité nous a transmis un droit de réponse, justifiant son action des dernières années.
24 heures après sa publication, l'article "La CNIL nous a tueR " a déjà reçu plus de 550 réactions et plus de 220 commentaires sur LinkedIn.
"En 2017, la CNIL a procédé à une vague de contrôles portant sur de nouvelles modalités de collecte de données de géolocalisation fines depuis les ordiphones via des logiciels SDK. Il s’agissait d’une pratique particulièrement intrusive nécessitant un consentement préalable tant au regard de l’ancienne loi informatique et libertés que du RGPD dont l’entrée en application n’a rien changé dans le cas d’espèce. En effet, les utilisateurs des applications mobiles concernées (météo, recettes de cuisine, applications de rencontre) étaient géolocalisés sans avoir consenti et sans en avoir été correctement informés, ce qui permettait de leur adresser de la publicité ciblée en lien avec les lieux qu’ils fréquentaient. Ils faisaient ainsi l’objet d’un suivi fin et permanent révélant leurs habitudes quotidiennes.
La CNIL a ainsi souhaité lancer une action avec un large écho pour alerter les millions de personnes dont les données étaient collectées et traitées à leur insu. De surcroît, un écosystème était en train de se construire sur la base de telles pratiques, il est apparu nécessaire d’envoyer rapidement une alerte collective pour toutes les entreprises susceptibles de les mettre en œuvre, ce que seule la publicité permet.
Il peut être, par ailleurs, rappelé que la publicité des mises en demeure n’est pas une pratique exceptionnelle : en 2018, 13 mises en demeure sur 48 ont été rendues publiques.
En outre, la Présidente de la CNIL a préféré permettre aux sociétés concernées de se mettre en conformité en adoptant une mise en demeure alors, qu’au regard de la gravité des manquements constatés et du nombre de personnes concernées, elle aurait pu faire le choix de saisir la formation restreinte (organe de la CNIL chargé de prononcer des amendes). Les sociétés ont ainsi évité une sanction pécuniaire, le cas échéant publique, qui aurait pu être très lourde.
Il s’est écoulé 10 mois entre le déroulement du contrôle et l’adoption de la mise en demeure à l’encontre de FIDZUP. Si ce délai peut paraître effectivement long dans ce contexte économique, il ne s’agit pas de délais particulièrement inhabituels ou inadaptés au regard des pratiques de la CNIL, de la nécessité d’instruire juridiquement et techniquement un dossier de cette nature, et compte tenu des ressources dont la CNIL dispose.
Sur ce cas particulier, il est d’abord rappelé que des échanges et communications de pièces entre la CNIL et la société ont eu lieu jusqu’en novembre 2017, rallongeant ainsi le délai d’instruction nécessaire. Par ailleurs, ce contrôle s’inscrivait dans un cadre plus large d’investigations à l’encontre d’autres sociétés du secteur. La CNIL a donc souhaité réaliser une harmonisation et une coordination de ces différentes procédures, pour assurer un traitement équitable entre les sociétés contrôlées.
Dans ce dossier, la CNIL n’a pas fait application des règles applicables aux cookies ou traceurs (qui ont changé avec le RGPD et le récent plan d’action de la CNIL sur ces traceurs), mais du « droit commun ». En effet, il ne s’agissait pas de l’application de l’article 82 (relatif aux cookies et traceurs) mais de l’article 7 de la loi informatique et libertés (devenu article 5 et repris à l’article 6 du RGPD) relatif à la base légale des traitements. La nécessité d’un consentement préalable ainsi que le fait que celui-ci doit être spécifique et résulter d’une action positive, étaient connus des acteurs depuis plusieurs années, et avant même que les mises en demeure publiques ne soient adoptées.
Si ces exigences, ainsi que la procédure répressive visant à les faire respecter par tous, peuvent avoir un impact économique, cette obligation était connue et ancienne, pourtant plusieurs acteurs, dont Fidzup ont maintenu un système de collecte massive de données à l’insu des utilisateurs.
La CNIL cible également, sur ce même sujet, les grands acteurs, comme en témoigne la sanction publique contre Google prononcée en janvier 2019, pour 50 millions d’euros (sans mise en demeure préalable), pour défaut de consentement valide couvrant, entre autres, des traitements de géolocalisation." explique un porte parole de la CNIL.
24 heures après sa publication, l'article "La CNIL nous a tueR " a déjà reçu plus de 550 réactions et plus de 220 commentaires sur LinkedIn.