Les startups de la pub, les AdTech, avaient raison de craindre l'entrée en vigueur du Règlement général sur la protection des données (RGPD), appliqué dans toute l'Union européenne depuis le 25 mai dernier. La Cnil, le gendarme français des données personnelles, a annoncé ce vendredi avoir mis en demeure la startup Vectaury, spécialisée dans la traque du parcours client à l'aide des données de géolocalisation des smartphones, et qui vient de lever 20 millions d'euros. Il s'agit de la quatrième AdTech épinglée par la Cnil depuis le 25 mai, après Fidzup, Teemo et Singlespot.
La subtilité de la notion de "consentement explicite"
Vectaury évolue dans le « retail analytics », c'est-à-dire l'analyse des données client pour le secteur de la distribution. La startup a créé un cookie de géolocalisation qu'on installe sur son smartphone sans s'en rendre compte lorsqu'on télécharge certaines applications, notamment des jeux et des services comme la météo ou certains médias. Les données recueillis sont ensuite croisées et analysées pour que les clients de Vectaury (enseignes de magasins comme Carrefour) affichent de la publicité ciblée sur les terminaux des personnes à partir des lieux qu'elles ont visités.
Les startups comme Vectaury négocient directement avec les distributeurs d'applications pour intégrer leur cookie à l'application, comme un "package" qui vient avec le service. Depuis l'entrée en vigueur du Règlement général pour la protection des données (RGPD), en mai dernier, l'utilisateur reçoit un court message l'informant de la présence de cookies à des fins de ciblage publicitaire ou d'actions marketing, et doit donner son consentement. Une précaution suffisante pour Vectaury, qui assurait à La Tribune lors de sa levée de fonds, utiliser uniquement les données "utiles à la performance", dans "le respect de la vie privée des utilisateurs et des partenaires".
Mais pour la Cnil, accepter la présence de cookies en téléchargeant une application ne suffit pas. Il faut que le message accompagnant la demande de consentement explique beaucoup plus clairement la finalité de cette collecte, ainsi que l'identité du responsable de traitement. Autrement dit, quand un utilisateur télécharge une appli contenant le cookie de Vectaury, il faudrait donc qu'il soit informé qu'il autorise en fait la traque en continu de ses données de géolocalisation, même quand l'appli est fermée, à des fins publicitaires. Ce n'est pas le cas pour Vectaury, ce qui fait dire à la Cnil que le consentement n'est "pas valablement recueilli".
Trois mois pour se mettre en conformité
Autre reproche, et pas des moindres : la Cnil estime que Vectaury exploite sans consentement valable des données d'internautes recueillies lors des offres d'enchères publicitaires en temps réel pour ses clients :
"Les informations données à l'utilisateur n'expliquent pas que ses données seront utilisées pour ce système d'enchères en temps réel, ni qu'elles seront ensuite conservées en vue de la définition d'un profil commercial. Comme pour les SDK [les cookies, NDLR], la collecte des données est activée par défaut", écrit la Cnil.
L'institution indique que Vectaury a ainsi recueilli "plus de 42 millions d'identifiants publicitaires et les données de géolocalisation à partir de plus de 32.000 applications". Les données collectées étant révélatrices des déplacements des personnes et donc de leurs habitudes de vie, Vectaury dispose de trois mois pour mettre en place des demandes de consentement conformes au RGPD et supprimer les données qu'elle avait indûment collectées. Dans le cas contraire, la Cnil pourra procéder à une sanction, qui peut aller jusqu'à 5% de son chiffre d'affaires mondial. Fondée en octobre 2014, Vectaury emploie environ 70 personnes et revendique travailler avec plus de 100 marques et agences.