La mise en demeure de la société Teemo a été clôturée par la CNIL, suite à la constatation par cette dernière du respect des demandes faites à la société en juin dernier.
La décision officielle de clôture rendue le 3 octobre 2018 mentionne notamment que Teemo, en tant que responsable de traitement, a désormais intégré une clause relative à la responsabilité de Google lorsque ce dernier agit en tant que sous-traitant de la société Teemo pour l’hébergement de ses données via le service Google Cloud. Cette clause contient des obligations « en matière de sécurité et de confidentialité des données à caractère personnel » afin de s’assurer que Google n’agisse sur les données hébergées par ses services que sur instruction du responsable de traitement (Teemo).
Les autres correctifs apportés par Teemo à ses pratiques ne sont pas développés au sein même de la décision mais dans un communiqué de la CNIL. Désormais, la personne concernée :
- Peut donner un consentement dûment éclairé par une information préalable à la collecte de ses données personnelles de géolocalisation ;
- Est expressément informée que ses données sont traitées à des fins de publicité ciblée géolocalisée ;
- Peut refuser de donner son consentement à ce traitement sans que cela ne perturbe le fonctionnement et l’utilisation de l’application qui héberge le SDK responsable de la collecte de données.
Auparavant vicié, le consentement des personnes est donc désormais recueilli valablement puisqu’il est éclairé (notamment sur les finalités et les destinataires des données), libre (puisque indépendant du fonctionnement de l’application), et spécifique (puisque sont distingués le traitement à des fins de ciblage marketing géolocalisé et les traitements réalisés par l’application pour les besoins de l’éditeur de l’application).
Enfin, notons que les problèmes liés à la conservation des données de géolocalisation (durée de conservation de 13 mois ou pendant la relation contractuelle malgré l’absence de contrat passé avec les utilisateurs) semblent également résolus. On peut toutefois regretter que la CNIL ne précise pas les durées appliquées mais se contente de mentionner que trois durées sont mises en place par Teemo « rendant ainsi la géolocalisation de moins en moins précise ».