Comment nous gérons la conformité au GDPR

Dernière mise à jour le: 6/5/2024

Dans ce qui suit, nous répondrons aux questions les plus urgentes concernant la confidentialité, la sécurité, le GDPR et d'autres sujets similaires... Ces informations sont régulièrement mises à jour pour refléter nos points de vue, nos efforts actuels et notre feuille de route concernant ces questions.

Nous reconnaissons que les données de localisation sont des données sensibles, c'est pourquoi nous prenons la confidentialité très au sérieux. Le domaine de la localisation dans lequel nous opérons a été géré historiquement par des sociétés d'ad tech collectant et monétisant des données de localisation en l'absence d'un état d'esprit de «  confidentialité dès la conception  ». Notre ambition et notre attitude quotidienne consistent à traiter cette problématique différemment.

Pour y parvenir, il faut d'abord faire preuve de transparence. C'est pourquoi nous avons répondu à quelques questions ci-dessous. Si vous avez d'autres questions à nous poser, n'hésitez pas à nous contacter via privacy@accurat.ai.

Unless expressly agreed otherwise, the Client acknowledges that the language of this policy shall also be the language of communication in all commercial transactions with Accurat, or that the Client understands the language of these policies. The English language version of this policy shall be the only authentic one. Translations or documents drawn up in another language are provided as a mere convenience towards the Client.

Quel est notre rôle dans le domaine de la géolocalisation ?

Notre objectif est d'aider nos clients éditeurs à créer d'excellentes expériences de produits grâce a la localisation, que ce soit par contenu personnalisé ou par publicité ciblée. Nous ne vendons pas les données que nous collectons et nous ne partageons pas ces données avec d'autres clients.Cependant, nous disposons d'un «  Insights Sharing Partnership  » qui regroupe les données des utilisateurs finaux de différents clients afin d'obtenir une vue d'ensemble des schémas comportementaux des utilisateurs finaux dans le monde réel. Cela permet aux entreprises de mieux comprendre leur public et d'améliorer leurs services en conséquence. Nous ne partageons jamais de données personnelles et nos algorithmes de regroupement requièrent au moins 50 utilisateurs.

Quelles sont les données collectées ?

Nous collectons d'abord des données sur l'utilisateur, comme son adid, l'état du consentement et l'autorisation de la localisation. Une fois que le traçage commence - pour les utilisateurs ayant donné leur accord et dont les autorisations de localisation sont activées - nous collectons ses données de localisation. Dépendant de plusieurs paramètres d'optimisation, nos algorithmes collectent plusieurs points de données par heure. Les données collectées contiennent la latitude et la longitude (coordonnées), l'adid, un horodatage, le système d'exploitation (Android ou iOS), la version du système d'exploitation (par exemple iOS 13.3.1), le fabricant de l'appareil (par exemple Apple ou Samsung), l'identifiant de l'appareil (par exemple A500), le réseau cellulaire (par exemple Proximus) et le réseau WIFI (dans le cas d'une connexion avec un réseau).

Plusieurs points de données sont directement utilisés pour faire correspondre les utilisateurs (quand et où), d'autres sont utilisés pour optimiser le suivi (par exemple, optimisation de la batterie pour des types d'appareils spécifiques) ou pour améliorer la probabilité d'une visite (par exemple, une connexion WIFI à «  Accurat  » indique une visite potentielle à Accurat).

Est-ce que nous vendons les données de localisation ?

Les données que nous collectons sont considérées comme des données de première partie. Nous ne vendons pas les données personnelles que nous collectons. Nous ne partageons pas non plus les données de localisation avec d'autres clients. Nos clients sont liés aux lois du GDPR et ne peuvent pas utiliser les données personnelles à d'autres fins que celles pour lesquelles l'utilisateur a donné son consentement. Nous suivons et enregistrons le consentement dans nos systèmes avec un traçage de révision afin d'avoir une vision précise des droits accordés.

Comment gérons-nous le consentement ?

Nous ne suivons jamais les utilisateurs sans leur consentement explicite. Le traçage ne commence qu'une fois que le consentement a été donné - que ce soit via notre flux automatisé ou l'intégration personnalisée par nos clients. Un exemple de notre flux de consentement est présenté ci-dessous. Un flux similaire est utilisé pour Android et de plus en plus depuis Android 10 (les autorisations de localisation peuvent être accordées sur une base temporaire, in-app ou toujours).

GDPR Compliancy flow

Comment évitons-nous le traçage des mineurs ?

Nous ne traçons les utilisateurs qu'avec leur consentement explicite. Il est très difficile de vérifier si un utilisateur est mineur (ou non). Nous nous appuyons sur une définition du consentement et une politique de confidentialité ou des conditions générales de nos clients parfaitement claires pour éviter de demander le consentement de mineurs. Et si nous nous apercevons qu'un utilisateur est mineur, nous cessons de le tracer.

Do we deal with user rights?

Nous disposons d'une liste extensive de procédures pour gérer les droits des utilisateurs finaux que nous suivons. Voici un bref résumé de notre approche:

  • Le droit d'être informé - tous les utilisateurs sont informés par le biais de la politique de confidentialité et/ou les conditions générales de nos clients et des formulations explicites dans les écrans de consentement fournis.
  • Le droit d'accès - les utilisateurs peuvent demander un résumé des données dans un format lisible concernant les données que nous collectons, stockons et traitons (telles que les audiences auxquelles ils sont nommés).
  • Le droit de rectification - les utilisateurs peuvent demander une mise à jour des données que nous avons collectées auprès d'eux.
  • Le droit à l'effacement - un utilisateur peut demander à être oublié et à ce que nous supprimions toutes les données que nous avons collectées et traitées.
  • le droit de limiter le traitement des données - nous conservons séparément les autorisations relatives aux différentes finalités afin que l'utilisateur puisse modifier ses préférences en termes de traitement des données
  • Le droit à la portabilité des données - les données que nous fournissons pour respecter le droit d'accès sont dans un format lisible. Bien qu'il n'existe pas de norme pour les données de localisation, nous facilitons l'interprétation des données, que ce soit par une personne ou par un programme informatique.
  • Le droit à la contestation - le droit à la contestation est traité de la même façon que le « droit à l'effacement ».
  • Droits liés à la prise de décision automatisée, y compris le profilage - le droit de ne pas être soumis à des décisions fondées exclusivement sur un traitement automatisé (y compris le profilage) produisant des effets juridiques (ou ayant un effet similaire). Accurat n'utilisera jamais les données de localisation pour prendre des décisions automatisées produisant des effets juridiques sur les utilisateurs.

Comment évitons-nous le profilage des utilisateurs basés sur des « données sensibles » (par exemple, la religion, les préférences sexuelles, l'appartenance à un syndicat, ...) ?

Lors du couplage et profilage des utilisateurs, les données sont comparées à une liste noire de lieux sensibles. Si un utilisateur est suspecté d'avoir visité un hôpital, une église, le siège d'un parti politique ou d'un syndicat, la correspondance n'est jamais stockée dans nos systèmes.

En outre, si un client souhaite créer un point d'intérêt (temporaire) situé à un endroit où notre liste noire contient un emplacement, ce POI n'est jamais stocké. Cette pratique nous permet d'éviter le profilage des utilisateurs sur la base d'emplacements qui sont considérés comme fournissant des informations sur les préférences politiques ou sexuelles ou l'état de santé d'un utilisateur.

Quelle est notre politique de rétention des données ?

Dans le cadre de nos mesures de protection des données, nous limitons la durée de conservation des données personnelles que nous stockons et traitons. Nous conservons vos données tant que cela est nécessaire pour offrir nos services et pour répondre à des exigences contractuelles ou légales. Une fois la période de conservation terminée, nous éliminons les données de manière sécurisée et nous révisons et réactualisons régulièrement nos politiques de rétention des données afin de nous assurer que nous ne stockons et ne traitons les données personnelles que pendant la durée nécessaire.

Avons-nous une approche éthique des données de localisation ?

Selon nous, chaque entreprise devrait agir selon une norme de « privacy by design » (respect de la vie privée dès la conception). En plus de cela, nous avons des valeurs personnelles auxquelles nous tenons tellement que nous avons fait en sorte que nos algorithmes ne profilent jamais les utilisateurs en fonction d'audiences spécifiques que nous considérons non éthiques. Par exemple, lorsqu'un utilisateur visite un casino, nous ne stockons pas cette information afin que les bureaux de paris ne puissent pas cibler des utilisateurs de cette manière.

Avons-nous pris des mesures sérieuses concernant la sécurité ?

Nous avons pris différentes mesures pour protéger les données que nous collectons, traitons et stockons en suivant les meilleures méthodes et procédures - à la fois administratives et physiques (aucun ordinateur ne peut être laissé déverrouillé), de cryptage (HMAC), d'authentification des utilisateurs (via OAuth), de limitation du transfert de données (une ou deux fois par jour en moyenne), de limitation de l'accès aux données, de limitation des sources de confiance (via le ciblage IP ou l'accès VPN), de limitation des risques en mettant en œuvre l'authentification à deux facteurs (TFA), des solutions de SSO (SAML 2. 0) ou en déconstruisant les données et en les stockant séparément (par exemple, les localisations sont enregistrées séparément de l'identifiant de l'utilisateur). Vous trouverez plus d'informations à ce sujet dans notre politique de sécurité.

Avons-nous adopté des méthodes de cryptage et d'authentification ?

Les données brutes (coordonnées) sont enregistrées dans Big Query, qui dispose par défaut d'un système de cryptage sophistiqué. D'autres données sont stockées avec un token d'utilisateur au lieu de l'identifiant de l'annonce, ce qui rend plus difficile de faire le lien en cas de violation ou d'incident similaire. En outre, nous prévoyons de crypter davantage toutes les données de bout en bout.

Pour l'authentification, nous utilisons HMAC - considéré comme l'un des meilleurs algorithmes d'authentification existant à ce jour - pour nos connexions SDK-API. De plus en plus, nous limitons l'utilisation de l'API aux adresses IP, en utilisant un VPN ou le SDK à des applications spécifiques. Tout le trafic est crypté end-to-end via SSL/TLS.

Qui est notre DPD?

Notre DPD est Tim De Bock, qui travaille comme consultant juridique chez Deloitte Belgique. Il peut être contacté via dpo@accurat.ai.

Pour toutes questions, veuillez contacter:

privacy@accurat.ai