Open in app

Sign in

Write

Sign in

Application du RGPD au drive-to-store : notre retour d’expérience

Olivier MAGNAN-SAURIN
Fidzup
Published in
6 min readJan 17, 2019

Depuis le 25 mai 2018, toute société européenne ou qui manipule des données considérées comme personnelles de citoyens européens est désormais soumise à la nouvelle loi RGPD.

Une loi complexe à appréhender qui rappelle ou introduit de nouvelles obligations.

Dans les obligations les plus connues citons l’obligation de recueillir le consentement « libre et éclairé » d’une personne pour accéder à ses données personnelles, le droit de retirer à tout moment ce consentement, d’accéder sur demande aux données personnelles qu’une société a sur soi. Mais d’autres obligations sont apparues pour les sociétés : la mise en place de registre de traitement, d’un DPO, etc.

Fidzup a évidemment été concernée par cette loi puisque que nous manipulons des données non nominatives de géolocalisation qui sont liées à un smartphone et considérées par le régulateur comme des données personnelles.

Certaines parties du texte RGPD concernant le recueil du consentement était sujettes à interprétation et ne répondait pas clairement à toutes les questions. Nous comptions donc sur l’audit de la CNIL dont nous avons fait l’objet en septembre 2017 pour clarifier tous ces points. En effet l’éclairage de la CNIL était important pour nous permettre de décoder cette nouvelle loi et de l’appliquer concrètement à notre métier et notre manière d’opérer.

Fidzup a malheureusement dû travailler à l’aveugle à la mise en place de la complexe loi RGPD sur les traitements que nous réalisions. Nous n’avons en effet reçu un retour de la CNIL que 10 mois après son audit, une fois que la loi RGPD était déjà rentrée en vigueur.

L’entrée en vigueur de RGPD

Chez Fidzup nous collectons des données de localisation (qui sont les données considérées comme personnelles dans nos traitements) à trois moments dans le « customer journey » du mobinaute : au moment où il utilise une application partenaire de Fidzup qui embarque notre SDK, une brique logicielle qui nous permet de récupérer des identifiants non nominatifs du smartphone; au moment où il rentre dans le magasin d’un de nos clients avec son smartphone (nous utilisons alors les données wifi que son smartphone émet); et enfin au moment où nous lui affichons une publicité dans sa navigation mobile.

Dès 2014 nous avions donc adopté la politique suivante pour informer le mobinaute et lui demander son consentement :

  1. Au sein des applications qui étaient partenaires de Fidzup (c’est à dire qui embarquaient le SDK Fidzup et étaient sous contrat avec notre société) nous demandions à l’utilisateur s’il acceptait que nous accédions à ses données de localisation.
  2. Au sein des magasins de nos clients nous affichions une notice à l’entrée du point de vente informant de l’existence du dispositif wifi (le même type d’information que pour la surveillance caméra par exemple), l’informant de la manière dont il pouvait faire opposition à cette récolte de données sur notre site internet + nous effectuions pour chaque enseigne cliente une déclaration auprès de la CNIL des données qui étaient récoltées et pour quels magasins.
  3. Quand aux publicités que nous affichions nous avions pris la décision de ne les afficher qu’aux smartphones qui nous avaient donné leur consentement pour l’accès à leurs données (récupéré via nos applications mobiles partenaires).

Avec l’arrivée de la loi RGPD, en plus de la mise en place des registres de traitement et la nomination d’un DPO, nous avions conçu une nouvelle fenêtre pour demander son consentement au mobinaute pour accéder à ses données de localisation. Et nous avions envoyé cette fenêtre à 100% de nos éditeurs d’applications mobiles partenaires en leur demandant de l’intégrer dans leur code source.

Mais nous ne pouvions pas aller plus loin car nous étions considérés par les contrats qui nous liaient aux éditeurs d’applications mobiles comme des sous traitants de ces derniers. C’était donc de leur responsabilité de s’assurer que la récolte du consentement était en règle et ils s’engageaient contractuellement à ce que ce soit le cas.

Le retour de la CNIL suite à son audit

Lorsque la CNIL nous a répondu, 10 mois après l’audit, elle a indiqué publiquement qu’elle n’était pas d’accord avec plusieurs points de cette politique qui, selon elle, n’étaient pas conformes aux demandes de la loi en cours mi-juillet, au moment de son retour, à savoir la loi RGPD :

  • D’abord la CNIL nous a indiqué qu’elle considérait qu’au regard des données que nous collections, des traitements que nous réalisions et du fait que nous maîtrisions les finalités, Fidzup n’était pas sous traitant des éditeurs mais responsable du traitement des données collectées. Ce qui changeait beaucoup de choses dans nos obligations.
  • Notamment nous devions nous assurer que 100% des données collectées l’étaient sur des mobinaute qui avaient donné leur consentement libre et éclairé, et que le contrat qui nous liait aux éditeurs ne suffisait pas à nous sécuriser juridiquement sur le fait que les données étaient bien collectées licitement
  • Enfin les fenêtres qui étaient intégrées chez nos partenaires éditeurs n’avaient pas le bon format pour récolter un consentement « RGPD compliant »

En somme du travail en perspective pour mettre à jour les contrats avec nos éditeurs et surtout pour développer les bons textes et fenêtres qui allaient permettre de récolter le consentement de l’utilisateur pour accèder à ses données de localisation et lui afficher des publicités personnalisées.

Mise en conformité : la CNIL dit « oui » à Fidzup

Fidzup a travaillé pendant 3 mois pour développer, en collaboration avec le cabinet d’avocat GIDE et en liaison quasi quotidienne avec la CNIL ainsi que nos partenaires éditeurs, un process et une fenêtre de récolte du consentement qui soit conforme à la loi RGPD et qui convienne aux éditeurs d’application.

En effet l’une des problématiques majeures des éditeurs est qu’ils récoltent souvent de la donnée pour la monétiser auprès de plusieurs sociétés tierces. Les revenus issues de la vente de données commencent à être significatifs pour des éditeurs d’application mobile qui peinent souvent à survivre avec les seuls revenus publicitaire. C’est, entre autre, la vente de data, qui leur permettra de continuer à proposer du contenu gratuit et de qualité à leurs utilisateurs.

Mais imaginez donc une application mobile que vous lanceriez pour la première fois et qui vous afficherait autant de fenêtres différentes que de partenaires à qui l’application vend de la publicité ou de la data (parfois plusieurs dizaines). Ce serait tout bonnement insupportable pour l’utilisateur qui quitterait tout simplement l’app et la désinstallerait.

Nous avons donc travaillé une fenêtre qui permettait de récolter le consentement pour une liste importante d’acteurs, en nous basant sur la liste des sociétés partenaires de l’IAB.

Cette fenêtre demande l’accord de manière claire à l’utilisateur pour différentes finalités, dont l’accès à ses données de localisation ou encore l’affichage de publicités géolocalisées. Elle offre le choix de refuser et respecte toutes les demandes que la CNIL a pu formuler dans le cadre de l’application de la loi RGPD.

Fidzup a par ailleurs cessé de collecter les données des éditeurs qui n’avaient pas intégré notre fenêtre et cessé de les rémunérer.

Notre fenêtre a été intégrée par nos premiers éditeurs partenaires à partir d’octobre 2018 et nous avons informé officiellement la CNIL le 12 octobre 2018 de l’ensemble des travaux de mise en conformité.

Après 7 semaines d’attente la CNIL a finalement indiqué officiellement, le 29 novembre 2018, que la société Fidzup s’était mise en conformité avec la loi RGPD et que les fenêtres de récolte du consentement que nous avions développé étaient également conformes aux demandes de la nouvelle loi européenne : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037661296&fastReqId=2113517222&fastPos=1

Une CMP pour les éditeurs

Fort de cette expérience de près de 15 mois à travailler aux côtés de la CNIL toute l’équipe Fidzup a souhaité mettre à disposition son expérience et son savoir faire notamment auprès des éditeurs d’applications mobiles qui ont besoin de sécuriser leur collecte de données, l’affichage de publicités à leurs utilisateurs et tous les revenus qui découlent de cela.

Nous proposons donc aujourd’hui d’accompagner tous les éditeurs qui nous en feront la demande avec notre Consent Management Platform (CMP) et toute l’expertise de nos équipes.

N’hésitez pas à nous contacter, nous partagerons notre expérience avec plaisir !

Nous organisons le 30 janvier 2019 à 11h un webinar pour revenir sur cette expérience et partager les éclairages nécessaires sur le sujet “RGPD et drive-to-store”.

N’hésitez pas à vous inscrire ICI !

Rgpd
Adtech
Drive To Store
Privacy
Publicité Mobile

--

--

Olivier MAGNAN-SAURIN
Fidzup

Written by Olivier MAGNAN-SAURIN

38 Followers
Editor for

CEO & co-founder @Fidzup, working on location-based marketing for retail

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams