La CNIL épingle une start-up qui espionne des utilisateurs sans leur accord pour du ciblage publicitaire

La société Vectaury s’est fait taper sur les doigts aujourd’hui par la Commission nationale de l’informatique et des libertés (CNIL). Cette dernière révèle que la start-up a collecté les données de géolocalisation d’utilisateurs dans le but de faire du ciblage publicitaire. Problème : les utilisateurs n’ont pas donné leur accord.

Les applications mobiles qui utilisent le SDK (kit de développement) de Vectaury sont concernées. Le SDK se charge de collecter l’identifiant publicitaire des smartphones et les données de géolocalisation des utilisateurs qui sont ensuite croisées avec des points d’intérêts déterminés par les partenaires (enseignes de magasins) afin d’afficher de la publicité ciblée. Vectaury traite également des données de géolocalisation qu’elle reçoit via des offres d’enchères en temps réel, initialement transmises dans le but de permettre à la société d’acheter un espace publicitaire.

Vectaury affirme avoir le consentement des personnes concernées pour la collecte de données, mais la CNIL explique que ce n’est pas tout à fait vrai. Les utilisateurs ne savent pas systématiquement que le SDK de Vectaury va collecter leurs données avant de télécharger l’application. Ils peuvent seulement être avertis en lisant les conditions générales, mais c’est déjà trop tard puisque cela a lieu après l’installation et la collecte de données a déjà eu lieu.

La CNIL met en demeure Vectaury et lui donne trois mois pour se conformer à la loi Informatique et Libertés. À ce jour, Vectaury a recueilli plus de 42 millions d’identifiants publicitaires et les données de géolocalisation à partir de plus de 32 000 applications.