Votre navigateur ne reconnait pas le javascript. Veuillez le mettre à jour.Sanction de la CNIL pour X pour un montant de 0€

Sanction CNIL pour X 1

Sanction CNIL pour X

Délibération 2016-405 du 15 décembre 2016


Commission Nationale de l'Informatique et des LibertésDélibération n°2016-405 du 15 décembre 2016Délibération de la formation restreinte n°2016-405 du 15 décembre 2016 prononçant une sanction pécuniaire à l'encontre de la société XEtat: VIGUEUR

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Jean-François CARREZ, Président, M. Alexandre LINDEN, Vice-président, M. Maurice RONAI, Mme Dominique CASTERA et Mme MITJAVILE, membres ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 45 et suivants ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n° 2014-141C du 25 juin 2014 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou faire procéder à une mission de vérification relative à tout traitement mis en œuvre dans le cadre de la gestion et de l’exploitation du site internet […] et des applications correspondantes ;

Vu la décision n° 2015-048 du 24 juin 2015 de la Présidente de la Commission nationale de l’Informatique et des libertés mettant en demeure la société X ;

Vu la délibération du bureau de la Commission nationale de l’Informatique et des libertés n° 2015-246 du 15 juillet 2015 rendant publique la mise en demeure n° 2015-048 prise à l’encontre de la société X ;

Vu la décision de la Présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur, en date du 30 août 2016 ;

Vu le rapport de M. Éric PERES, commissaire rapporteur, du 30 août 2016 ;

Vu les observations écrites versées par la société X le 2 novembre 2016 ainsi que les observations orales formulées lors de la séance de la formation restreinte ;

Vu les autres pièces du dossier.

Etaient présents, lors de la séance de la formation restreinte du 3 novembre 2016 :

Monsieur Éric PERES, commissaire, entendu en son rapport ; En qualité de représentants de la société X : Madame A, Directrice Générale et Monsieur B, Chef de produit ; En qualité de conseil de la société X : Maître C, Avocat.

Madame Catherine POZZO DI BORGO, commissaire du Gouvernement adjoint, n’ayant pas formulé d’observation ;

Les représentants de la société X ayant eu la parole en dernier ;

Après en avoir délibéré, a adopté la décision suivante :

La société X (ci-après la société ), a pour activité principale la mise en ligne et la gestion du site de rencontre […] . Crée en 2007, le site vise un public haut de gamme , hétérosexuel et homosexuel. La société emploie environ [X] personnes et a réalisé un chiffre d’affaires d’environ [X] en 2015. Elle a fait l’objet d’un rachat en octobre 2016 par la société Y.

La société a effectué une déclaration normale n° 1232346 auprès de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission ), le 27 avril 2007, relative au traitement dont la finalité est intitulée Fichier clients membres de la communauté gestion BD .

Les 2 juillet et 2 octobre 2014, en application de la décision n° 2014-141C du 25 juin 2014 de la Présidente de la Commission, une délégation de la CNIL a procédé à deux missions de contrôles sur place au sein des locaux de la société X. A cette occasion, des manquements à la loi du 6 janvier 1978 modifiée (ci-après loi Informatique et Libertés ) ont été constatés et les procès-verbaux n° 2014-141 du 2 juillet 2014 et n° 2014-141/2 du 2 octobre 2014 ont été notifiés à la société.

Par décision n° 2015-048 du 24 juin 2015 de la Présidente de la CNIL, la société a fait l’objet d’une procédure de mise en demeure lui enjoignant, dans le délai de 3 mois, d’adopter les mesures correctives suivantes :

- déposer une demande d’autorisation auprès de la CNIL en ce qui concerne les traitements de données susceptibles d’exclure des personnes ;

- recueillir le consentement exprès des personnes s’agissant de la collecte de leurs données sensibles ;

- procéder à l’information des utilisateurs directement sur les formulaires de collecte des données ;

- définir et respecter une durée de conservation des données proportionnée à la finalité du traitement ;

- informer et obtenir l’accord préalable des personnes concernées au dépôt et à la lecture de cookies sur leur équipement terminal ;

- assurer la sécurité et la confidentialité des données collectées ;

- assurer la sécurité et la confidentialité des données gérées par un sous-traitant.

Par courriers des 10 août, 11 septembre, 16 octobre et 23 octobre 2015, la société a communiqué des premiers éléments en réponse à la mise en demeure qui lui a été adressée. Elle a également sollicité le 16 octobre 2015, que le délai pour se mettre en conformité soit prolongé de six mois supplémentaires.

Après avoir constaté la mise en conformité de la société concernant trois des sept manquements énoncés dans la mise en demeure, à savoir la demande d’autorisation concernant les traitements de données susceptibles d’exclure des personnes, l’information des utilisateurs et la modification des contrats avec ses sous-traitants, la Présidente de la CNIL lui a accordé, par courrier du 23 octobre 2015, un délai additionnel jusqu’à fin janvier 2016.

A l’échéance de ce délai, la société a adressé à la CNIL, les 27 janvier et 25 mars 2016, des éléments de réponse sur trois des quatre manquements encore restants, à savoir les durées de conservation, les cookies et la sécurité et la confidentialité des données. En raison d’une part, de l’absence de réponse concernant le recueil du consentement sur les données sensibles et d’autre part, d’une conformité encore partielle sur les manquements susmentionnés, la Présidente de la CNIL lui a adressé une demande de compléments le 18 avril 2016.

Dans ce courrier, la Présidente de la CNIL relevait concernant les données sensibles, qu’une case à cocher unique renvoyant à trois informations distinctes avait été mise en place : la condition de majorité, l’acceptation des Conditions Générales d’Utilisation (CGU) et le traitement des données relatives à l’orientation sexuelle. Considérant que le consentement des utilisateurs au traitement de leur orientation sexuelle n’était dès lors pas exprès, la Présidente de la CNIL invitait la société à mettre en place, par exemple, une case à cocher distincte relative au traitement des données sensibles.

Après avoir répondu, le 23 mai 2016, aux manquements concernant les durées de conservation, les cookies et la sécurité et la confidentialité des données, la société a précisé, par courrier électronique du 13 juillet 2016, les éléments mis en œuvre s’agissant du recueil du consentement concernant le traitement des données sensibles.

Les réponses de la société sur ce point s’étant révélées insatisfaisantes, la Présidente de la Commission a désigné M. Éric Peres en qualité de rapporteur, le 30 août 2016, sur le fondement de l’article 46 de la loi du 6 janvier 1978 modifiée.

A l’issue de son instruction, le rapporteur a notifié à la société, par porteur, le 27 septembre 2016, un rapport détaillant le manquement relatif à l’article 8 de la loi Informatique et Libertés qu’il estimait caractérisé en l’espèce. Ce rapport proposait à la formation restreinte de la CNIL de prononcer une sanction pécuniaire de 30 000 euros, dont il sollicitait par ailleurs qu’elle soit rendue publique.

Etait également jointe au rapport une convocation à la séance de la formation restreinte du 3 novembre 2016 indiquant à l’organisme qu’il disposait d’un délai d’un mois pour communiquer ses observations écrites.

Le 2 novembre 2016, la société a produit des observations écrites sur le rapport, réitérées oralement lors de la séance de la formation restreinte du 3 novembre 2016.

Motifs de la décision

A.Un manquement à l’obligation de recueillir le consentement de la personne concernée pour le traitement des données sensibles

L’article 8° de la loi du 6 janvier 1978 modifiée prévoit que I. - Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.

II. - Dans la mesure où la finalité du traitement l'exige pour certaines catégories de données, ne sont pas soumis à l'interdiction prévue au I : 1° Les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf dans le cas où la loi prévoit que l'interdiction visée au I ne peut être levée par le consentement de la personne concernée ; […] .

La société a été mise en demeure de recueillir le consentement exprès des personnes, sur la base d’une information spécifique, à la collecte et au traitement de leurs données sensibles - en l’espèce les données relatives à la vie sexuelle des personnes. La mise en demeure précisait que ce consentement pouvait être recueilli par tout procédé, tel qu’une case à cocher, apposé à l’endroit de la collecte.

Il appartient à la formation restreinte de décider si la société X s’est conformée aux termes de la mise en demeure ou a manqué à l’obligation lui incombant de recueillir le consentement exprès des personnes au traitement de leurs données sensibles.

En défense, la société fait principalement valoir qu’une nouvelle mesure a été mise en place le 28 octobre 2016, consistant à insérer une case à cocher dédiée à la collecte des données sensibles à la fin du formulaire d’inscription sur le site, tout en contestant néanmoins l’interprétation de la CNIL sur les modalités d’application de cet article.

Elle justifie de la mise en conformité tardive d’une part, par un impératif économique, à savoir préserver la rentabilité de la société et le nombre d’inscrits et d’autre part, par un enjeu sociétal, celui de ne pas discriminer les internautes en fonction des orientations sexuelles (hétérosexuelles et homosexuelles).

La société estime par ailleurs, que le caractère exprès du consentement ne provient pas d’une case à cocher distincte mais de l’objet même du service clairement compris par l’utilisateur, à savoir la fourniture d’un service de rencontre permettant à un utilisateur de visualiser les profils des membres correspondant à l’orientation sexuelle qu’il a renseignée. Elle ajoute que l’insertion d’une case spécifique relative à ces données pourrait jeter un doute sur la fiabilité du service de rencontre et créer un sentiment de défiance s’agissant de la sécurisation du site.

Elle fait en outre valoir que la comparaison établie par le rapporteur entre l’article 8 de la loi du 6 janvier 1978 modifiée et les dispositions de l’article L. 34-5 du code des postes et des communications électroniques en matière de prospection commerciale électronique n’est pas appropriée en l’espèce. Elle indique que la prospection électronique doit s’analyser comme l’accessoire d’un contrat de service portant sur une prestation autre que la prospection commerciale alors que le recueil de données sensibles, en l’espèce l’orientation sexuelle, est indispensable à l’exécution de la prestation de site de rencontre.

Elle précise à ce titre que l’arrêt TUTO4PC (CE 11 mars 2015, req n°368624) ayant invalidé la pratique consistant à recueillir le consentement à la prospection électronique via l’acceptation des conditions générales de vente n’est pas comparable au cas de […] prévoyant un menu déroulant explicite (ex je suis un homme qui recherche une femme ), pour les besoins d’une finalité unique : la fourniture du service.

La société fait également valoir les décisions de clôtures des mises en demeure concernant d’autres sites de rencontre et estime, compte tenu des mesures mises en œuvre, que la mise en demeure dont elle a fait l’objet doit pouvoir donner lieu à une clôture.

Enfin, la société fait état des mesures organisationnelles mises en place et notamment du recrutement d’ingénieurs développeurs, afin de répondre à l’ensemble des exigences de la mise en demeure.

La formation restreinte rappelle qu’en application de l’article 8 de la loi du 6 janvier 1978 modifiée, la collecte et le traitement des données à caractère personnel dites sensibles que sont, notamment, les données relatives à la vie sexuelle des personnes, est interdit sauf si les personnes concernées ont donné leur consentement exprès. Ce consentement doit être libre, informé et spécifique.

Constitutif d’un régime dérogatoire à celui de l’interdiction de traiter des données sensibles, le recueil du consentement des personnes et son caractère exprès en la matière, doivent faire l’objet d’une interprétation stricte.

Tout d’abord, la formation restreinte considère que le consentement est exprès dès lors que la personne concernée est en mesure de manifester par une action positive, son assentiment au traitement de ses données sensibles, attestant ainsi que son consentement est donné en toute connaissance de cause. En effet, afin de consentir, la personne concernée doit être pleinement éclairée sur le caractère sensible des données qu’elle renseigne, notamment en ce que celles-ci peuvent révéler son appartenance à une communauté ou permettre qu’elles fassent l’objet d’un profilage.

La formation restreinte estime ainsi que l’existence d’une case à cocher dédiée à l’expression du consentement à la collecte et au traitement des données sensibles, apposée à l’endroit de cette collecte, et de l’information spécifique délivrée sur le caractère sensible des données, répondent à l’exigence d’un consentement exprès.

En l’espèce, elle considère qu’en recueillant le consentement des personnes par le biais d’une seule et unique case à cocher relative à trois informations distinctes (la majorité, l’acceptation des CGU et l’acceptation du traitement des données relatives à l’orientation sexuelle) diluant ainsi l’information portant sur les données relatives à l’orientation sexuelle parmi d’autres, la société n’a pas recueilli leur consentement exprès.

Ainsi, la société n’a pas pris toutes les mesures nécessaires dans le délai imparti par la mise en demeure pour recueillir un tel consentement alors même qu’elle a obtenu un délai supplémentaire pour s’y conformer et a fait l’objet d’un accompagnement important et continu de la part de la Commission dans sa démarche de conformité.

La formation restreinte souligne que les exigences liées au recueil du consentement des données sensibles lui avaient clairement été indiquées dans le courrier du 18 avril 2016 susvisé, la société ayant été invitée par la Présidente de la CNIL à recueillir le consentement des personnes à la collecte et au traitement de leurs données sensibles par l’intermédiaire d’une case à cocher distincte .

La formation restreinte note que si la société s’est conformée aux exigences de la mise en demeure, notamment en annonçant un calendrier d’action dans le cadre de l’instruction du dossier, lequel serait de nature à faire état de sa conformité ; elle rappelle néanmoins que cette mise en conformité au jour de la séance est sans incidence sur la caractérisation du manquement, ce dernier se cristallisant à l’expiration du délai prorogé de la mise en demeure, c'est-à-dire à la fin du mois de janvier 2016.

Enfin, la formation restreinte rappelle que le fait, pour la personne concernée, de renseigner spontanément les données relatives à son orientation sexuelle, ne saurait être considéré comme un consentement exprès dès lors que la personne n’a pas nécessairement conscience du caractère sensible de ces données et des conséquences possibles de leur divulgation.

La formation restreinte considère en conséquence que la société n’a pas respecté les termes de la décision la mettant en demeure de respecter les dispositions de l’article 8° de la loi du 6 janvier 1978 modifiée dans le délai qui lui était imparti.

Sur la sanction et la publicité

La formation restreinte considère que le manquement à l’article 8 de la loi du 6 janvier 1978 modifiée a persisté au-delà du délai imparti par la mise en demeure de la Présidente de la Commission et justifie que soit prononcée une sanction d’un montant de 10.000 € à l’encontre de la société. En outre, elle estime les faits d’une particulière gravité au regard de la nature des données traitées et du volume de personnes concernées par le traitement en cause, à savoir au moins […] comptes d’abonnés actifs et au plus […] comptes en bases de données.

Compte tenu de la gravité du manquement commis par la société, ainsi que de la nécessité de sensibiliser les internautes et les responsables de traitements quant à leurs droits et obligations respectifs en la matière, la formation restreinte décide de rendre publique sa décision.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide :

de prononcer à l’encontre de la société X une sanction pécuniaire d’un montant de 10.000 € ;de rendre publique sa délibération, qui sera anonymisée à l’expiration d’un délai d’un an à compter de sa publication.

Le Président

Jean-François CARREZ

Cette décision peut faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.



Nature de la délibération: SANCTION
Date de la publication sur legifrance: 30 décembre 2016

Date de l'article :