L’épée de Damoclès pesant sur Vectaury est levée. Mardi, la Cnil a annoncé la clôture de la mise en demeure de cette société épinglée lors de la vague qui a touché de nombreuses sociétés traitant les données de géolocalisation des utilisateurs d’applications partenaires.
Vectaury était le dernier des quatre larrons à avoir été épinglé par la Cnil à encore être sous le coup d’une mise en demeure de rentrer dans le rang et dans la conformité au RGPD. Entre l’été et la fin de l’année dernière, la Cnil avait mis en demeure quatre sociétés : Teemo, Fidzup, Singlespot et Vectaury. Toutes ont en commun de collecter les données de géolocalisation des utilisateurs d’apps tierces que les éditeurs monétisent ensuite, par le biais de publicité ciblée notamment.
Aucune n’était conforme au cadre légal en vigueur, échouant à recueillir le consentement « informé, spécifique et univoque des personnes à des fins de publicité géolocalisée ». Mais dans le cas de Vectaury s’ajoutait le recours au « bid request », des enchères en temps réel ici d’identifiants publicitaires et de données de géolocalisation, « plus de 42 millions » recueillis « à partir de plus de 32 000 applications » écrivait la Cnil en novembre. Mais toutes ces applications ne sont pas forcément collectées dans le respect de la loi et Vectaury, responsable du traitement, n’était effectivement pas en mesure de prouver que tel était le cas.
Les bid requests, un modèle décrié
Après que Teemo, Fidzup et Singlespot se soient mis en conformité, c’est désormais au tour de Vectaury. Qui s’épargne ainsi les foudres du régulateur, lequel vient de clôturer la mise en demeure. Le CMP (Consent Management Provider) de la société a été adapté de sorte à informer de chaque finalité, avec pour chacune la possibilité pour l’utilisateur de donner ou non son consentement au traitement de ses données.
« Je considère que les modèles de fenêtre contextuelle communiqués permettent de recueillir un consentement informé, spécifique et univoque des personnes à des fins de publicité géolocalisée, conformément au règlement général sur la protection des données (RGPD) » écrit Marie-Laure Denis, la nouvelle présidente de la Cnil. Enfin, sur les bid request, Vectaury s’est engagé à « ne traiter que les données d’utilisateurs dont le consentement a été recueilli via une CMP dont [il a] préalablement vérifié la conformité ».