Suite à des missions de contrôle, la CNIL a, le 25 juin 2018, mis deux sociétés proposant à leurs partenaires des technologies de ciblage publicitaire en demeure, sous un délai de trois mois, de se conformer à la Loi Informatique et Libertés. Elle avait en effet noté qu’aucune d’entre elles ne proposait “aux utilisateurs ayant téléchargé les applications [de leurs] partenaires (…) de mécanisme pour consentir préalablement aux traitements opérés” de sorte qu’elles ne disposaient pas d’une base légale pour la mise en œuvre du traitement. S’agissant en outre de l’une des deux sociétés, la CNIL a relevé qu’elle avait également manqué à son obligation de définir et respecter une durée de conservation proportionnée à la finalité du traitement en conservant les données de géolocalisation des personnes pendant 13 mois, ainsi qu’à son obligation d’assurer la sécurité et la confidentialité des données gérées par Google, hébergeur de la base de données dans laquelle les données collectées étaient stockées.
Pour lire la première et la seconde mises en demeure de la CNIL