Géolocalisation : les acteurs du marketing mobile s'orientent vers une application stricte du RGPD

Nouvel eldorado, la publicité géociblée souffre néanmoins d’une mauvaise image, avec plusieurs articles dénonçant l’usage de SDK de tracking au sein des applications voire l’absence de consentement de la part des mobinautes pour un tel usage. Un mois après l’arrivée du Règlement Général pour la Protection des Données (RGPD), et après quelques crispations autour du consentement dans l’univers de la publicité programmatique, certaines questions méritent d’être clairement posées.

La première question à se poser est celle du statut exact des données de géolocalisation. Le RGPD ne désigne pas explicitement les données de géolocalisation comme des données personnelles. Et ce sont les CNIL européennes, réunies au sein du G29, qui se sont substituées au législateur, pour affirmer que la géocalisation était bien une donnée personnelle. Et c’est d’ailleurs cette interprétation qui est affichée sur le site de l’Union Européenne, qui cherche à classifier les typologies de données. (*)Mais cette interprétation des CNIL, dont le rôle n’est pas de faire la loi mais de s'assurer de son application est-elle juste ? Peut-on réellement considérer que des coordonnées géographiques comme celles de la Tour Eiffel (Latitude : 48.866667, Longitude : 2.333333) par exemple, sont des données personnelles, alors que l’édifice est fréquenté par plusieurs milliers de personnes chaque jour ?

« Une donnée à caractère personnel est une donnée d’une personne physique directement ou indirectement indentifiable. Le RGPD vient spécifiquement préciser qu’une personne peut être identifiée directement ou indirectement par référence à la localisation. Cela signifie que si la localisation se rapporte à une personne physique directement ou indirectement indentifiable, la localisation est une donnée personnelle. La collecte d’un point de coordonnées GPS isolé (i.e. pas de captation de plusieurs points géographiques) et non rattaché à d’autres données ne suffirait peut-être pas à cette identification. Il convient dans tous les cas de conduire l’analyse avec prudence en fonction de paramètres externes dont par exemple la précision de la technologie de localisation, la densité de population à un endroit donné, la corrélation potentielle qui pourrait être établie avec l’aide d’un tiers etc. » explique Juliette de Waele, DPO et VP Legal de Singlespot, un spécialiste du drive-to-store et de la publicité mobile.

«  Les autorités de contrôle ont tendance à assimiler les données de géolocalisation à des données personnelles, car leur collecte est souvent associée à un identifiant publicitaire, qui est une donnée personnelle. La police considère également qu’elle peut retrouver l’identité de n’importe qui, à partir de trois données différentes de géolocalisation. Mais on pourrait effectivement débattre du statut d’une donnée de géolocalisation seule et non reliée à un identifiant publicitaire. » estime Nicolas Blanc, DPO et VP Engineering de Fidzup, également spécialiste du drive-to-store et de la publicité mobile.

« En dehors de l’interprétation des CNIL européennes, les textes législatifs sont plutôt flous et nous avons tendance à penser qu’une donnée X,Y, ne peut être considérée seule comme une donnée personnelle. En revanche, la captation de plusieurs localisations géographiques, et surtout l’utilisation d’identifiants publicitaires comme les Advertising ID, donnent à la localisation un caractère personnel. » explique Maud Jamme, Data Protection Officer de Teemo, un autre spécialiste du drive-to-store et de la publicité mobile.

Selon cette lecture, le geotracking des mobinautes via un SDK in-app serait bien une donnée personnelle et relèverait donc du RGPD. Mais il pourrait bien y avoir des exceptions, notamment dans le cas où le DSP ne récolterait qu’une seule donnée géographique sans remonter d’identifiant publicitaire ou technique.

Dans la majorité des cas, une donnée de géolocalisation est en tout cas une donnée personnelle et les acteurs de la publicité mobile doivent se soumettre à un cadre législatif, défini dès 2002 avec une première directive européenne, et qui vient précisément d’être renforcé par le nouveau Règlement Général pour la Protection des Données.Ces textes encadrent la collecte de données personnelles et exigent un véritable consentement éclairé avant toute collecte. Mais le consentement n’est pas la seule base légale pour récolter des données personnelles. Il existe par exemple le contrat, entre entre entreprise et un individu, mais également une notion plus floue comme l’intérêt légitime, et qui pousse certains acteurs du secteur dont la publicité est le cœur d’activité, à nuancer la nécessité d’obtenir un consentement.

« Il existe six motifs différents pour traiter des données personnelles : le contrat, l’obligation légale, la sauvegarde des intérêts vitaux d’une personne, la mission d’interêt public, l’intérêt légitime ou le consentement. En matière de géolocalisation, la CNIL recommande de recourir au consentement mais en l’absence de définition claire de l’intérêt légitime ou de jurisprudence à ce sujet, il peut y avoir un débat. » indique Nicolas Blanc, DPO et VP Engineering de Fidzup.

« Le législateur et les CNIL européennes associent systématiquement traceur publicitaire et consentement mais les textes prévoient effectivement des exceptions, dans lesquelles s’engouffrent de nombreux acteurs du secteur notamment sur le web. Pour la collecte de données de géolocalisation, particulièrement dans l’univers in-App où on utilise un SDK, nous exigeons de nos partenaires éditeurs qu’ils obtiennent le consentement des mobinautes. » ajoute Maud Jamme, Data Protection Officer de Teemo.

« Il existe plusieurs bases légales pour la collecte des données personnelles mais le législateur a, dans la directive e-Privacy 2002 / 58/CE, imposé aux opérateurs de télécommunication, qu’ils aient recours au consentement pour obtenir et transférer les données de géolocalisation de leurs clients. Pour les autres acteurs, le Règlement européen sur la protection des données 2016/676 s’applique. On pourrait valablement se demander si, dans certains cas, les acteurs pourraient se reposer sur l'intérêt légitime pour collecter les données de localisation. Le recours à ce motif devrait dans tous les cas être limité dans la mesure où le G29, qui regroupe les CNIL européennes, a expressément précisé qu’au regard du caractère sensible du traitement de données de localisation, le consentement préalable en pleine connaissance de cause devait être le principal motif qui confère un caractère légitime au traitement. » explique Juliette de Waele, DPO et VP Legal de Singlespot.

Si le consentement semble être la règle pour la collecte de données de géolocalisation, il semblerait également possible de la contourner, en invoquant un « intérêt légitime » pour des médias dont le modèle économique est entièrement basé sur la publicité et la collecte de données. Mais le législateur n’a hélas pas clairement défini cette notion.

Si le caractère personnel des données de géolocalisation et la nécessité d’obtenir un consentement sont admis, se pose enfin la question du « comment » obtenir ce consentement.
Selon le nouveau règlement pour la protection des données et la CNIL, le consentement ne peut être qu’un « opt-in », c’est à dire un acte positif comme de cocher une croix, pour autoriser une collecte de données personnelles. Mais lors du déploiement des premiers bandeaux d’information sur les cookies, cette même CNIL a accepté que les éditeurs aient recours à un « opt-out » pudiquement rebaptisé « soft opt-in », leur permettant de déposer des cookies sur des ordinateurs y compris quand l’internaute ne fait que fermer le bandeau. Cette jurisprudence du cookie validée par la CNIL, est-elle encore valable ou faut-il désormais appliquer cette logique d’un véritable opt-in ?

« Au titre de l'article 32-II de la loi n°78 du 6 janvier 1978, laquelle a transposée la directive e-Pricacy 2002/58/CE, les entreprises peuvent avoir recours au « soft opt-in » pour obtenir le consentement des utilisateurs au dépôt des traçeurs et cookies. A ce titre, la poursuite de la navigation sur le site par exemple (simple scroll ou clic sur un élément de la page visitée) peut valoir consentement. Les règlements RGPD et e-Privacy devaient théoriquement entrer simultanément en vigueur pour mettre notamment en cohérence la règlementation sur les traçeurs et cookies avec les nouvelles exigences d’opt-in du RGPD. Face au retard du règlement e-Privacy, repoussé à après 2019, lequel était de nature à créer un flou juridique, la CNIL a confirmé qu’il n’était pas nécessaire d’anticiper le futur règlement e-Privacy et que sa position sur le soft opt-in en matière de cookies et traçeurs restait de vigueur. Dans l’univers applicatif, iOS et Android imposent en revanche un véritable opt-in pour la collecte des données de géolocalisation. Les éditeurs et leurs partenaires n’ont pas le choix. » explique Juliette de Waele, DPO et VP legal de Singlespot.