Le 19 juillet dernier, la Présidente de la CNIL mettait en demeure Fidzup, spécialiste de la génération de trafic en magasin, pour non respect du règlement général sur la protection des données (RGPD). Après plusieurs mois de travail, la start-up lançait une plateforme de gestion du consentement répondant parfaitement aux exigences de la Commission. La sanction était levée. Fidzup devenait pionnier. Entretien avec Olivier Magnan-Saurin, co-fondateur de la start-up.
L’histoire commence en septembre 2017…
La CNIL mène en effet un audit chez Fidzup à la rentrée 2017 et nous signifie que le consentement concernant la récolte des données n’est pas « explicite et éclairé ». Commencent alors plusieurs d’échanges d’informations et de documents. La mise en demeure de Fidzup a été officialisée le 19 juillet, environ 2 mois après l’entrée en vigueur du RGPD.
Sur quel point la CNIL a-t-elle exigé une évolution ?
Il s’agissait de revoir le consentement, auprès des utilisateurs finaux, pour accéder à leurs données de position.
Fidzup collecte en fait uniquement des données de localisation – identifiants publicitaires ou Wifi du Smartphone, données de localisation GPS … – ; ces données sont non nominatives : ni nom, ni prénom, ni adresse, ni numéro de téléphone, ni mail. La CNIL les considèrent cependant comme des données personnelles, estimant qu’en les croisant avec des bases de données externes, il est possible de remonter jusqu’à l’identité de la personne.
Comment avez-vous procédé ?
La CNIL n’a pas vraiment formulé de demande précise ; nous avons compris que c’était à nous de construire le texte et la fenêtre qui allaient être présentés auprès des utilisateurs finaux, pour récolter leur consentement.
Après une première proposition, rejetée par la CNIL, nous avons décidé de travailler sur une fenêtre multi-partenaires : cette dernière permettrait de recueillir le consentement pour Fidzup mais aussi pour d’autres acteurs. Nous avons décidé de proposer une liste complète, de manière à vraiment aider les éditeurs. Nous avons contacté l’IAB, une organisation qui regroupe les acteurs de la publicité sur Internet. Grâce à eux, et à condition de respecter le cadre de récolte de consentement, nous avons eu accès à une liste d’adhérents. Nous proposons donc aux éditeurs de recueillir le consentement pour plus de 500 partenaires, à travers une unique fenêtre.
Début octobre, nous avons notifié officiellement la CNIL que les travaux que nous avions menés semblaient répondre aux demandes formulées : la plateforme respecte strictement et entièrement les demandes du RGPD. Le 29 novembre, la mise en demeure était levée.
Avec cette plateforme de consentement, Fidzup se positionne aujourd’hui comme pionnier…
Exactement. Cette fenêtre multi-partenaires a été travaillée jusqu’au moindre détail. Fidzup est en mesure de recueillir des données avec un consentement conforme et accompagne également les éditeurs qui le souhaitent dans leur mise en conformité en leur proposant d’utiliser sa solution de récolte du consentement qui suivra les évolutions réglementaires. Et nous nous engageons bien sûr à ne pas travailler avec les éditeurs qui ne respectent pas le RGPD.
Nous sommes, à l’heure actuelle, le seul acteur du marché du drive-to-store à avoir à la fois l’accord officiel de la CNIL pour opérer ainsi qu’un volume suffisant de données pour accompagner efficacement nos clients dans leurs campagnes, grâce à une base de données récoltée dans le respect du RGPD.