Mis en demeure mi-juillet par la Cnil pour avoir manqué à ses obligations en termes de recueil du consentement, Teemo s’est mis en conformité et échappe aux sanctions. Le gendarme des données personnelles a annoncé lever sa mise en demeure, considérant que la société s’était pliée à ses injonctions et a pris des mesures d’information et de recueil du consentement du public.
Le 19 juillet dernier, la Cnil épinglait deux sociétés dont le modèle économique reposait sur la collecte de données de géolocalisation par le biais d’applications tierces. Un procédé servant aux éditeurs de ces apps en vue de monétiser un peu plus leur audience. Rien d’illégal jusque-là, au détail près que Fidzup et Teemo échouaient à recueillir le consentement libre, spécifique et éclairé des personnes. Teemo s’est depuis plié à la mise en demeure et s’est mis en conformité.
En conséquence de quoi « la réponse rapide de la société a permis à la Présidente de la CNIL de considérer que les manquements avaient cessé » écrit l’autorité de protection des données dans un communiqué annonçant la clôture de la mise en demeure à l’encontre de Teemo.
Pour se mettre en conformité, l’entreprise a développé des bannières s’affichant à l’installation des apps utilisant son SDK. Ces fenêtres précisent la finalité du traitement, à savoir le ciblage publicitaire basé sur la géolocalisation, ainsi que l’identité des responsables du traitement et la nature des données collectées.
La société informe également les utilisateurs qu’ils peuvent à tout moment retirer leur consentement au traitement de leurs données. « Les personnes sont donc en mesure d’« accepter » ou de « refuser » que leurs données de géolocalisation soient traitées à des fins de publicité ciblée » remarque la Cnil, signalant qu’en cas de refus, les données ne sont évidemment pas collectées mais que la qualité du service fourni par l’application ne s’en voit pas pour autant altérée.
Durée de conservation limitée selon les données
Enfin, Teemo avait également été épinglé sur la durée de conservation des données de géolocalisation, de 13 mois au moment de la mise en demeure. Disproportionnée au regard de la finalité du traitement, estimait la Cnil. L’entreprise a revu sa copie en définissant « trois périodes distinctes au cours desquelles les données de géolocalisation sont de moins en moins précises ». Les points de géolocalisation précis associés à un identifiant publicitaire sont conservés pendant 30 jours, l’information qu’un identifiant publicitaire s’est trouvé tel jour dans telle zone est conservée 3 mois et enfin les visites dans un magasin client du service sont conservées pendant un an.
Surtout, Teemo a pris la décision d’effacer « l'ensemble des datas historiques collectées de façon non conforme » à ses obligations légales. « Cette décision est indispensable pour être totalement en conformité avec le règlement » écrit la jeune entreprise. Un argument entendu par la Cnil, qui rappelle toutefois que si de nouveaux manquements devaient être constatés, son couperet s’abattrait impitoyablement.