Accueil > Marques & Agences > Achat média > Matthieu Daguenet (Vectaury) : “Après clôture de la mise en demeure de la CNIL, notre base contient 13,5 millions d’ID utilisateurs”

Matthieu Daguenet (Vectaury) : “Après clôture de la mise en demeure de la CNIL, notre base contient 13,5 millions d’ID utilisateurs”

Visée par une mise en demeure en novembre 2018, Vectaury est l'une des sociétés françaises spécialisées dans la publicité mobile épinglées par la CNIL pour manquement au RGPD. Son directeur général, Matthieu Daguenet, explique à mind Media comment la société s'est mise en conformité depuis la clôture de la mise en demeure en février dernier et l'impact qu'elle a eu sur son activité.

Par Jean-Michel De MarchiPaul Roy. Publié le 11 avril 2019 à 18h32 - Mis à jour le 11 avril 2019 à 18h32

Ressources

Le 26 février, la CNIL a levé la mise en demeure de Vectaury pour absence de consentement au traitement des données de géolocalisation à des fins de ciblage publicitaire. Quelles mesures techniques avez-vous prises dans ce sens ?

Il s’agit de mise en place de process plus que de changements techniques ; nous avions déjà anticipé les problématiques de protection des données, et étions privacy by design dès le début de notre activité. C’est notre CMP propriétaire qui posait question (elle avait été lancée en juillet 2018 mais n’était pas conforme au RGPD, comme d’autres selon la CNIL, ndlr). Nous l’avons désormais mise en conformité, en changeant l’emplacement du texte informant de la finalité d’utilisation des données de la page 2 à la page 1 – les autres paramètres (identité du responsable de traitement et données collectées) étant déjà affichés conformément.

Concernant la collecte de données auprès de nos partenaires, Vectaury ne travaillait déjà qu’avec des acteurs ayant recueilli le consentement, mais la conformité avec le RGPD de leur méthode n’était à l’époque pas vérifiée. Pour y remédier, nous avons mis en place une grille d’analyse avec la CNIL qui permet de juger manuellement les CMP conformes des éditeurs de plateformes de gestion du consentement, et les ajoute à une whitelist pour que, lorsque nous recevons une consent string, la donnée soit collectée ou non.

Comment cette procédure a-t-elle affecté le volume de données collectées ?

La mise en demeure a rendu public ce que nous disions commercialement à nos partenaires. Avant la mise en demeure de la CNIL, nous possédions 25 millions de profil qualifiés (sur 42 millions d’ID utilisateurs embasés, ndlr). Il a fallu à ce moment-là supprimer l’intégralité des données qui n’avaient pas été recueillies avec un consentement conforme. Bien entendu, nous n’avions pas attendu la fin de la mise en demeure en février pour mettre en place une collecte des données jugée conforme. Aujourd’hui, nous sommes revenus à un total de 13,5 millions d’ID utilisateurs en base.

Sur le taux d’opt-in lié à notre nouvelle CMP, nous ne pouvons pas encore estimer l’impact des changement techniques – une communication à ce sujet aura lieu d’ici deux mois – mais on peut anticiper une baisse au global, qui sera en partie compensée par la hausse du taux d’opt-in de nos partenaires. Nous travaillons à l’augmentation de celui-ci, en accompagnant nos partenaires dans la mise en conformité et l’amélioration UX de leur recueil de consentement. Vectaury est un acteur qui travaille avec des données qualifiées et une DMP représentative ; nous estimons donc ne pas avoir besoin de récolter toutes les données utilisateurs à tout moment.

Quel a été l’impact de la mise en demeure sur l’activité de l’entreprise ?

L’impact a été important sur l’activité économique, puisque nous avons perdu les trois quarts de notre chiffre d’affaires pendant la période des trois mois de mise en demeure. Nous espérons retrouver son niveau d’avant mise en demeure dès mai 2019. Concernant les relations avec nos clients BtoB – agences et retailers -, ils ont eu pour la plupart une réaction de solidarité : ils ont stoppé leurs investissements sur nos solutions par peur du risque réputationnel, mais se sont réengagés après la le levée de la mise en demeure. Côté éditeurs, nous avons reconduit l’ensemble de nos partenariats et nous apprêtons à signer de nouveaux contrats.

La levée de fonds (de 20 millions d’euros, réalisée en octobre 2018 de Jolt Capital, ndlr) nous le permettant, nous n’avons pas eu à licencier des salariés de Vectaury. Nous avons, au contraire, fait le choix de poursuivre notre développement international, en nous installant notamment sur le marché américain en mai.

Votre offre de publicité mobile a-t-elle été repositionnée en conséquence ?

Notre offre de services n’a pas changé : les innovations sur nos formats étaient inscrites dans notre roadmap et nous travaillons toujours au développement de notre solution SAAS analytics. Nous voulons nous positionner comme un logiciel marketing qui permet aux retailers d’automatiser à grande échelle toutes les communications locales.

L’objectif est aussi d’accélérer l’expansion à l’international : nous arrivons à une maturité technologique et sommes convaincus que l’on va vers une accélération de l’adoption de ces pratiques par les retailers. Plus tard, l’idée sera d’aller plus loin et de mesurer directement en caisse pour pouvoir attribuer la performance média au chiffre d’affaires d’un magasin.

En mettant en demeure Vectaury, Teemo, Fidzup et Singlespot, la CNIL ciblait la géolocalisation via les SDK

La technique de la publicité géolocalisée via SDK mobile était clairement dans le viseur de la CNIL en 2018. Après Teemo et Fidzup au printemps, Singlespot et Vectaury avaient été mis en demeure en octobre et novembre pour non validité du consentement utilisateur au recueil de leurs données personnelles. Les quatre sociétés ont depuis vu leur mise en demeure clôturées après avoir réalisé les modifications demandées. La CNIL reprochait à Vectaury au moins deux types de manquement. D’abord un consentement utilisateur non valide sur les données provenant des SDK installés dans les applications mobiles de partenaires : “Les personnes ne sont pas systématiquement informées, lors du téléchargement des applications mobiles, qu’un SDK collecte leurs données de localisation. L’utilisateur n’est informé ni de la finalité de ciblage publicitaire, ni de l’identité du responsable de ce traitement” et il n’est par ailleurs “pas toujours possible de télécharger l’application mobile sans activer le SDK”.

Autre manquement constaté par l’autorité : l’obligation de recueil du consentement sur les données provenant des offres d’enchère en temps réel d’espace publicitaire en vue de la création d’un profil commercial. Un système qui avait permis à la société de recueillir plus de 42 millions d’identifiants publicitaires et les données de géolocalisation à partir de plus de 32 000 applications (lire les explications détaillées de la CNIL). Vectaury avait donc été mis en demeure de recueillir le consentement effectif de tous les utilisateurs concernés, de supprimer les données indûment collectées, et de mettre en conformité son recueil du consentement dans un délai de trois mois. Ces changements ont eu un impact important sur son activité, comme pour les trois autres sociétés concernées.

Pourquoi cibler la géolocalisation via le mobile ? La CNIL avait clairement affiché ses intentions de cibler un segment de marché qu’elle jugeait parmi les moins respectueux du RGPD. Dans la mise en demeure de Vectaury, elle disait en effet vouloir “sensibiliser les professionnels du secteur sur le manque de transparence dans les techniques de géolocalisation par le mobile” (…) “alors que la collecte de données à caractère personnel à des fins de profilage et de ciblage publicitaire, notamment à partir des lieux fréquentés par les personnes, connaît une forte croissance. L’utilisation du SDK s’inscrit dans un écosystème faisant intervenir plusieurs acteurs, à savoir les éditeurs d’applications mobiles et les clients annonceurs, qu’il est essentiel d’alerter sur les enjeux de la protection des données.”

Jean-Michel De Marchi

Jean-Michel De MarchiPaul Roy