La faute au RGPD ? Episode n°1

Mis à jour : août 25


La CNIL a mis en demeure publiquement plusieurs de entreprises spécialisées en ciblage marketing sur mobile, dont Fidzup, en 2018. En 2020, Fidzup baisse le rideau et son fondateur publie un article intitulé « La CNIL nous a tueR ».

Mais est-ce vraiment la faute à la CNIL ? Est-ce la faute au RGPD ?


Fidzup était une entreprise spécialisé dans le ciblage publicitaire sur mobile. Cette entreprise, directement ou via des partenariats, déployaient des points de collecte sur les téléphones portables. Fidzup installait en parallèle des bornes chez les commerçants clients. Quand un mobile se trouvait à proximité de la borne, fidzup collectait des informations pour personnaliser la publicité affichée sur le mobile, et revendre des informations de fréquentations aux enseignes.

Problème : fidzup collectait les données sur mobile à l’insu de l’utilisateur. Et fidzup n’était pas la seule entreprise de ce secteur à faire de même.


L’article du pdg de Fidzup montre de nombreuses erreurs commises dans la façon dont cette société traitait les données personnelles.

Nous allons nous concentrer sur 5 des erreurs commises et vous expliquer comment les éviter, pour pouvoir exploiter les données personnelles dans le respect de la législation. Bien sûr, ces 5 points ne couvrent pas l’ensemble des exigences à respecter mais au moins cela évitera à votre entreprise le même sort que celui de fidzup.


Erreur n°1 : Se tromper sur ce qu’est une donnée personnelle


Il est difficile de comprendre comment, après un contrôle de la CNIL, une mise en demeure publique et toutes les actions mises en œuvre pour faire lever cette mise en demeure, le pdg de Fidzup se trompe encore sur la définition d'une donnée à caractère personnelle. Ce pdg reste convaincu que les données manipulées par fidzup n'était pas des données à caractère personnelle, malgré ce qu'en dit la CNIL. C'est une erreur que nous avons souvent rencontré.

Pour savoir si vous manipulez des données à caractère personnelle, posez-vous une question simple :
Suis-je capable d'identifier la personne à qui appartient ces données, soit à partir des données que j'ai collectées, soit en utilisant d'autres données auxquelles j'ai accès/je pourrais avoir accès ?
Si la réponse est oui, alors vous manipulez des données à caractère personnelles.

Erreur n°2 : Mal gérer le consentement


Fidzup se défend d'avoir toujours été pro-actif sur le sujet de la protection des données et d'avoir toujours manipulé les données avec une éthique forte.

Au regard des traitements faits par Fidzup, le consentement des personnes ciblés étaient obligatoire pour traiter leurs données (et cette règle s'appliquait bien avant l'entrée en vigeur du RGPD). Mais Fidzup ne demandait jamais le consentement, la collecte des données se faiait en l'insu des personnes concernés. C'est l'un des points que la CNIL a constaté lors de son contrôle. Quelques semaines après le contrôle, la CNIL a pu constater que le consentement n'était toujours pas demandé, bien que Fidzup ait affirmé le contraire.


Si vous avez besoin du consentement pour traiter des données à caractère personnel, assurez-vous que vous avez obtenu ce consentement dans le respect de la législation. Et rappelez-vous

Le consentement était déjà inscrit dans la loi Informatique et Libertés. Il est renforcé par le RGPD et les conditions de son recueil sont précisées. *

*extrait du site de la CNIL



Erreur n°3 : Attendre une action de la CNIL avant de se mettre en conformité


La CNIL fournit un accompagnement aux entreprises pour les aider à respecter la législation sur la protection des données, mais a aussi une action de contrôle. La CNIL peut réaliser des contrôles dans le cadre de son activité de contrôle ou suite à une plainte. Les contrôles peuvent donner lieu à des mises en demeure, ou parfois directement à des sanctions.

Des sociétés comme Optical Center ont été directement sanctionnées, sans mise en demeure préalable.

La mise en demeure n'est donc pas un simple rappel à l'ordre, c'est bien le début d'une procédure qui peut aboutir à une sanction.

Fidzup a quant à elle considéré que la mise en demeure dont elle a fait l'objet était un simple rappel à l'ordre, comme le dit son PDG dans son article. Gageons que Fidzup n'a donc pas accordé toute l'importance qu'il fallait à cette mise en demeure.



Erreur n°4 : Oublier que des règles existaient avant le RGPD


La Loi Informatique et Liberté est applicable depuis de nombreuses années en France, et la plupart des exigences du RGPD y était déjà présente.

Loin d'introduire un changement radical en matière de traitement des données personnel, le RGPD a imposé un changement de paradigme : elles sont désormais responsables de prouver qu'elles sont conformes au risque d’encourir des sanctions très élevés; les personnes dont ces entreprises traitent les données peuvent demander réparation pour préjudice subit, en plus d'une plainte à la CNIL.


En particulier, des règles sur le recueil du consentement existait déjà. Fidzup ayant été contrôlée par la CNIL avant l'entré en vigueur du RGPD, c'est sur la base des "anciennes règles" que la mise en demeure a été faite. Et il s'avère que ces anciennes règles n'étaient pas respectées par Fidzup.


Erreur n°5 : Penser qu’il y a encore une période de sursis


La CNIL l'a toujours dit : pour toutes les exigences du RGPD qui était déjà présente dans l'ancienne Loi Informatique et Liberté, aucun sursis ne sera accordé dès l'entrée en vigueur de ce règlement.

Il y a quelques mois, la CNIL a indiqué qu'il n' y aurait plus de sursis pour les nouvelles règles du RGPD.

Il est serait donc dommageable pour votre entreprise de se baser sur un éventuel sursis pour ne rien faire pour se mettre en conformité. Ceci d'autant plus qu'un contrôle de la CNIL peut être déclenché par une plainte.



J’espère que ceci vous aidera à mieux exploiter les données et mieux servir vos clients et je vous dis à bientôt pour continuer à parler de données.


Cet article sera prochainement disponible en podcast.

+33 1 73 29 32 04

©2020 par Stratechno.  Vos données