La Commission Nationale de l’Informatique et des Libertés (CNIL) a mis en demeure la société Fidzup pour non-conformité au Règlement Général sur la Protection des Données (RGPD). Nous allons donc examiner cette situation en détail pour mieux comprendre les raisons de cette mise en demeure et les actions entreprises par Fidzup pour se conformer aux exigences du RGPD.
Qu’est-ce que Fidzup ?
Fidzup est une société française spécialisée dans le marketing mobile à destination des commerçants. Leur objectif est d’aider les enseignes à optimiser le trafic dans leurs points de vente physiques grâce au développement d’applications mobiles qui exploitent la géolocalisation. Les données collectées permettent ainsi de proposer des offres personnalisées aux consommateurs et d’améliorer leur expérience en magasin.
Les motifs de la mise en demeure
La CNIL reproche à Fidzup plusieurs points :
- Le manque de consentement des utilisateurs quant à l’accès et au traitement de leurs données de géolocalisation.
- L’absence de moyens pour les internautes d’exercer leurs droits en matière de protection des données, notamment pour ce qui concerne l’accès, la rectification, l’opposition ou la limitation du traitement.
- Un défaut d’information concernant la durée de conservation des données collectées et le transfert des informations vers des partenaires commerciaux.
Le consentement au traitement des données
Une obligation du RGPD
La mise en demeure met en lumière un point crucial du RGPD : le consentement éclairé et explicite des utilisateurs est obligatoire pour tout traitement de leurs données personnelles. Pour être valide, ce consentement doit être donné librement, sans ambiguïté et être renouvelable à tout moment. De plus, il appartient aux entreprises responsables du traitement de pouvoir prouver que les personnes concernées ont bien donné leur accord.
Les manquements constatés chez Fidzup
Dans le cas de Fidzup, la CNIL considère que le consentement n’est pas respecté puisque l’information sur la géolocalisation est intégrée à la politique de confidentialité générale de l’application et non présentée spécifiquement comme une fonctionnalité dédiée. Le consentement pour cette utilisation reste donc ambigu, voire inexistant. De plus, les conditions d’utilisation mentionnent que cette collecte de données reste possible même lorsque la géolocalisation est désactivée sur le téléphone portable de l’utilisateur, privant celui-ci de tout moyen réel pour contrôler ses données.
Exercice des droits des personnes concernées
Un autre élément clé du RGPD
Pour respecter le RGPD, les entreprises doivent également veiller à fournir à leurs clients et utilisateurs tous les moyens nécessaires pour exercer leurs droits en matière de protection des données personnelles, tels que :
- Le droit à l’information : être informé sur l’utilisation et la finalité des données collectées.
- Le droit d’accès : connaître les données détenues par l’entreprise.
- Le droit de rectification : corriger et mettre à jour ses informations.
- Le droit d’opposition et de limitation : s’opposer à certaines utilisations des données ou limiter leur traitement.
- Le droit à l’effacement : demander la suppression de ses données.
Les insuffisances relevées chez Fidzup
Selon la CNIL, Fidzup ne fournirait pas aux utilisateurs de moyens clairs et accessibles pour exercer ces droits. L’exercice du droit d’opposition notamment est jugé trop complexe, avec plusieurs étapes successives peu intuitives. En outre, la société ne mentionne pas suffisamment de manière explicite les possibilités offertes aux personnes concernées pour agir sur leurs données.
Information sur la durée de conservation et le transfert des données
Enfin, le RGPD impose aux entreprises de communiquer clairement les conditions de conservation, de traitement et de partage des données qu’elles collectent. Or, dans son application, Fidzup ne précise pas combien de temps sont conservées les données récoltées ni ne fournit de détails sur le transfert de ces informations vers ses partenaires commerciaux. La CNIL estime donc que cette transparence insuffisante enfreint les règles fixées par le RGPD.
Les efforts de mise en conformité de Fidzup
Face à la mise en demeure, Fidzup a entrepris plusieurs actions pour se mettre en conformité avec le RGPD :
- Mise à jour de l’interface des applications pour permettre un paramétrage plus clair de la géolocalisation et une meilleure acquisition du consentement.
- Facilitation de l’exercice des droits des personnes concernées par l’utilisation d’un formulaire dédié.
- Amélioration des politiques de confidentialité avec des informations complètes sur la durée de conservation et le transfert des données.
Ces initiatives témoignent de la volonté de l’entreprise de respecter le cadre réglementaire imposé par le RGPD. Toutefois, il reste essentiel pour Fidzup de poursuivre et intensifier ces démarches afin de pleinement se conformer aux exigences de la CNIL et assurer une protection optimale des données personnelles de ses utilisateurs.