Il n’aura pas fallu longtemps à la CNIL, suite à l’entrée en vigueur du RGPD le 25 mai 2018, pour frapper fort. Les mises en demeure, très médiatisées, se sont enchaînées en moins de 5 mois : Teemo (ex Databerries) et Fidzup en juillet, puis Singlespot hier.

A chaque fois, il s’agit de startups qui éditent des SDK (sorte de petits logiciels intégrables dans des applications tierces) visant à récolter des données, notamment de géolocalisation, sans consentement explicite, dans les smartphones de millions de français. Le but ? Le ciblage publicitaire.

Ces pratiques permettent en effet de proposer des services de « drive to store », c’est-à-dire des services permettant via la publicité de faire venir le public dans un magasin. Un exemple simple : vous êtes à proximité d’un fast food bien connu et consultez dans la rue L’Équipe via son application mobile, la page suivante un bandeau publicitaire vous invite à passer dans le restaurant qui se situe à 100m.

Or toutes les solutions de « drive to store » n’ont pas été mises en demeure par la CNIL. Ainsi la startup Bubbles Company a conçu sa solution dès le départ pour être en accord avec le RGPD. Elle propose au consommateur d’avoir une chance sur X (2,3 ou 10) de ne pas payer ses courses s’il vient en magasin. La mise en avant de cette offre se fait sur Facebook ou par des influenceurs. Aucun SDK, pas de suivi caché, et l’utilisateur se voit demander systématiquementson autorisation explicite pour partager ses données avec l’enseigne qui fait appel à Bubbles. S’il refuse, aucune donnée ne peut être exploitée.