Votre navigateur ne reconnait pas le javascript. Veuillez le mettre à jour.Sanction de la CNIL pour x pour un montant de 0€

Sanction CNIL pour x 1

Sanction CNIL pour x

Délibération 2016-406 du 15 décembre 2016


Commission Nationale de l'Informatique et des LibertésDélibération n°2016-406 du 15 décembre 2016Délibération de la formation restreinte n°2016-406 du 15 décembre 2016 prononçant une sanction pécuniaire à l'encontre de la société xEtat: VIGUEUR

Délibération de la formation restreinte n° 2016-406 du 15 décembre 2016 prononçant une sanction pécuniaire à l'encontre de la société X

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Jean-François CARREZ, Président, M. Alexandre LINDEN, Vice-président, M. Maurice RONAI, Mme Dominique CASTERA et Mme MITJAVILLE, membres ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 45 et suivants ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n° 2014-298C du 24 octobre 2014 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de tout traitement de données à caractère personnel mis en œuvre dans le cadre de la gestion et de l’exploitation du site internet […] et des applications mobiles associées ;

Vu la décision n° 2015-059 du 24 juin 2015 de la Présidente de la Commission nationale de l’Informatique et des libertés mettant en demeure la société X ;

Vu la délibération du bureau de la Commission nationale de l’informatique et des libertés
n° 2015-250 du 15 juillet 2015 décidant de rendre publique la mise en demeure n° 2015-059 du 24 juin 2015 prise à l’encontre de la société X ;

Vu la décision de la Présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 30 août 2016 ;

Vu le rapport de M. Éric PERES, commissaire rapporteur, du 23 septembre 2016 ;

Vu les observations écrites versées par la société X le 20 octobre 2016 ainsi que les observations orales formulées lors de la séance de la formation restreinte ;

Vu les autres pièces du dossier ;

Etaient présents, lors de la séance de la formation restreinte du 3 novembre 2016 :

Monsieur Éric PERES, commissaire, entendu en son rapport ; En qualité de représentants de la société X : Monsieur A, Directeur juridique et Madame B, Directrice France et Europe du Sud ; En qualité de conseil de la société X : Maître C et Maître D, Avocats.

Madame Catherine POZZO DI BORGO, commissaire du Gouvernement adjoint, n’ayant pas formulé d’observation ;

Les représentants de la société X ayant eu la parole en dernier ;

Après en avoir délibéré, a adopté la décision suivante :

La société X (ci-après la société ) a pour activité principale la mise en ligne et la gestion du site de rencontre […] , créé en 2002 et disponible dans la quasi-totalité des pays européens. La société emploie près [de X] et a réalisé un chiffre d’affaires [de X] sur l’exercice 2015, pour un résultat net [de X].

La société a effectué une déclaration normale n° 796865 auprès de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission ), le 15 mars 2002, relative au traitement dont la finalité est la Gestion des relations avec les membres et prospects des services [de X] . Cette déclaration a fait l’objet de plusieurs modifications.

Les 3 et 4 novembre 2014, en application de la décision n° 2014-298C du 24 octobre 2014 de la Présidente de la Commission, une délégation de la CNIL a procédé à une mission de contrôle sur place au sein des locaux de la société X. À cette occasion, des manquements à la loi du 6 janvier 1978 modifiée (ci-après la loi Informatique et Libertés ) ont été constatés et les procès-verbaux n° 2014-298/1 du 3 novembre 2014 et n° 2014-298/2 du 4 novembre 2014 ont été notifiés à la société.

En application de la décision n° 2014-298C précitée, un contrôle en ligne a été diligenté le 11 mai 2015 sur le site […] de la société et le PV n° 2014-298/3 du même jour a été notifié à la société.

Par décision n° 2015-059 du 24 juin 2015 de la Présidente de la CNIL, la société a fait l’objet d’une procédure de mise en demeure lui enjoignant, dans le délai de 3 mois, d’adopter les mesures correctives suivantes :

procéder à l’accomplissement des formalités préalables applicables aux traitements mis en œuvre ; recueillir le consentement exprès des personnes, sur la base d’une information spécifique, à la collecte et au traitement de leurs données sensibles ; ne traiter que des données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées ; définir et mettre en œuvre une politique de durée de conservation des données relatives aux utilisateurs, qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées ; informer et obtenir l’accord préalable des personnes concernées à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci (lecture des cookies) ; adopter des mesures visant à assurer la sécurité et la confidentialité des données.

Par courriers des 2 octobre et 21 octobre 2015, la société a communiqué des premiers éléments en réponse à la mise en demeure qui lui a été adressée.

À la demande de la société, une réunion s’est tenue avec les services de la CNIL le 23 octobre 2015. A la suite de cette réunion, la société a également sollicité un renouvellement du délai de trois mois pour se mettre en conformité avec certaines des injonctions formulées dans la mise en demeure. La Présidente de la CNIL lui a accordé, par courrier du 30 octobre 2015, un délai additionnel de trois mois, soit jusqu’à fin janvier 2016, pour se mettre en conformité.

À l’échéance de ce délai, la société a adressé à la CNIL, le 28 janvier 2016, des premiers éléments en réponse à la mise en demeure qui lui a été notifiée.

La Présidente de la CNIL ayant relevé que la conformité n’était acquise que pour deux des manquements relevés à savoir le dépôt de la demande d’autorisation requise et la justification de l’utilisation des données bancaires, une demande de compléments a été adressée à la société le 19 avril 2016.

Dans ce courrier, la Présidente de la CNIL indiquait concernant les données sensibles, que le consentement des utilisateurs au traitement de ces données était recueilli lors de leur inscription sur le site, par l’intermédiaire d’une seule case à cocher relative à trois informations distinctes : la condition de majorité, l’acceptation des Conditions Générales d’Utilisation (CGU) et le traitement des données sensibles. Considérant que la fusion de ces différentes informations au sein d’une unique case à cocher ne permettait pas de conférer au consentement des utilisateurs un caractère exprès, la Présidente de la CNIL a invité la société à mettre en place, par exemple, une case à cocher distincte relative à la collecte et au traitement des données sensibles. Elle a également demandé que l’information délivrée aux utilisateurs ne fasse pas uniquement référence à l’orientation sexuelle dès lors que d’autres données sensibles sont collectées.

À la suite de ce courrier, la société a sollicité, le 4 mai 2016, la tenue d’une nouvelle réunion avec les services de la CNIL. Par courrier en date du 18 mai 2016, la Présidente de la CNIL a rejeté la demande de réunion de la société, celle-ci ne paraissant pas opportune au regard des injonctions formulées dans la mise en demeure, lesquelles étaient libellées de manière suffisamment claire.

Le 23 mai 2016, la société a répondu à la demande de compléments d’information de la Présidente de la CNIL en date du 19 avril 2016. S’agissant en particulier du recueil des données sensibles, la société a estimé que la méthode employée était conforme aux dispositions de l’article 8 de la loi du 6 janvier 1978 modifiée.

Les réponses de la société sur ce point s’étant révélées insatisfaisantes, la Présidente de la CNIL a désigné M. Éric Peres en qualité de rapporteur, le 30 août 2016, sur le fondement de l’article 46 de la loi du 6 janvier 1978 modifiée.

A l’issue de son instruction, le rapporteur a notifié à la société, par porteur, le 27 septembre 2016, un rapport détaillant le manquement relatif à l’article 8 de la loi Informatique et Libertés qu’il estimait constitué en l’espèce. Ce rapport proposait à la formation restreinte de la CNIL de prononcer une sanction pécuniaire de 40 000 euros, dont il sollicitait par ailleurs qu’elle soit rendue publique.

Etait également jointe au rapport une convocation à la séance de la formation restreinte du 3 novembre 2016 indiquant à l’organisme qu’il disposait d’un délai d’un mois pour communiquer ses observations écrites.

Le 20 octobre 2016, la société a produit des observations écrites sur le rapport, réitérées oralement lors de la séance de la formation restreinte du 3 novembre 2016.

Motifs de la décision

A.Un manquement à l’obligation de recueillir le consentement de la personne concernée pour le traitement des données sensibles

L’article 8° de la loi du 6 janvier 1978 modifiée prévoit que I. - Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.

II. - Dans la mesure où la finalité du traitement l'exige pour certaines catégories de données, ne sont pas soumis à l'interdiction prévue au I : 1° Les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf dans le cas où la loi prévoit que l'interdiction visée au I ne peut être levée par le consentement de la personne concernée ; […] .

La société a été mise en demeure de recueillir le consentement exprès des personnes, sur la base d’une information spécifique, à la collecte et au traitement de leurs données sensibles - en l’espèce les données relatives aux origines ethniques ou raciales, aux opinions religieuses et à la vie sexuelle des personnes. La mise en demeure précisait que ce consentement pouvait être recueilli par tout procédé, tel qu’une case à cocher, apposé à l’endroit de la collecte.

Il appartient à la formation restreinte de décider si la société s’est conformée aux termes de la mise en demeure ou a manqué à l’obligation lui incombant de recueillir le consentement exprès des personnes au traitement de leurs données sensibles.

En défense, la société fait principalement valoir que le consentement recueilli est parfaitement informé et qu’il répond à la définition européenne et française d’un consentement spécifique ; qu’en tant que tel, le consentement recueilli doit être considéré comme exprès et qu’il satisfait aux conditions de l’article 8 de la loi du 6 janvier 1978 modifiée.

En particulier, la société indique qu’aucun texte n’impose que le recueil d’un consentement pour le traitement de l’orientation sexuelle soit exclusif de tout autre accord des personnes. Elle précise également que les utilisateurs ne seraient pas mieux protégés ni plus libres en souscrivant à l’ensemble des conditions (majorité, acceptation des CGU et traitement des données sensibles) en trois fois plutôt qu’une. La société estime dès lors que la case à cocher actuelle permet de recueillir un consentement exprès et spécifique.

La société fait par ailleurs valoir qu’il y a lieu de prendre en compte les spécificités liées à la fourniture d’un service de rencontre. À cet égard, elle indique que les personnes ont conscience et sont informées que les données qu’elles fournissent sont nécessaires pour la fourniture du service auquel elles souscrivent.

Elle précise, en outre, que les modalités de recueil du consentement sur les sites de rencontre doivent être appréciées in concreto et que, les modalités de recueil du consentement en matière de prospection commerciale ne sauraient être transposables au cas des données sensibles. En particulier, la société indique que tandis que la règlementation en vigueur impose des conditions strictes relatives aux modalités de recueil du consentement pour le cas des prospections commerciales, tel n’est pas le cas pour les données sensibles, lesquelles sont par ailleurs nécessaires à la fourniture d’un service de site de rencontre.

Enfin, devant la formation restreinte, la société a présenté une nouvelle case à cocher dédiée, actuellement en phase de test, laquelle est libellée de la manière suivante : J’accepte que l’information relative à mes données sensibles soit traitée par [X] pour me fournir ses services .

Postérieurement à la séance qui s’est tenue le 3 novembre 2016, la société a fait parvenir à la CNIL une note en délibéré. Elle a affirmé que dans le délai de mise en demeure imparti par la CNIL, la société a apposé sur son formulaire d’inscription une case à cocher visant le traitement de l’orientation sexuelle et que, à cette date, aucun des termes de la mise en demeure ne lui permettait de comprendre que la CNIL estimerait que cette case de recueil d’un consentement exprès aurait été insuffisante en ce qu’elle n’aurait pas été exclusivement dédiée à l’information des personnes sur le traitement des données sensibles .

Dans le cadre de cette note en délibéré, la société a également fait valoir qu’elle s’était engagée par écrit le 20 octobre et, de nouveau le 3 novembre devant la formation restreinte, à mettre en œuvre une case à cocher supplémentaire exclusivement dédiée au traitement de l’ensemble des données sensibles susceptibles d’être collectées sur son site internet et qu’au demeurant, les sites concurrents de la société en France ne sont pas tous en conformité avec les injonctions de la CNIL. Elle a produit à cet égard un constat d’huissier.

La formation restreinte rappelle qu’en application de l’article 8 de la loi du 6 janvier 1978 modifiée, la collecte et le traitement des données à caractère personnel dites sensibles que sont, notamment, les données relatives à la vie sexuelle, aux origines raciales ou ethniques et aux opinions religieuses, est interdit sauf si les personnes concernées ont donné leur consentement exprès. Ce consentement doit être libre, informé et spécifique.

Constitutif d’un régime dérogatoire à celui de l’interdiction de traiter des données sensibles, le recueil du consentement des personnes et son caractère exprès en la matière, doivent faire l’objet d’une interprétation stricte.

Tout d’abord, la formation restreinte considère que le consentement est exprès dès lors que la personne concernée est en mesure de manifester par une action positive, son assentiment au traitement de ses données sensibles, attestant ainsi que son consentement est donné en toute connaissance de cause. En effet, afin de consentir, la personne concernée doit être pleinement éclairée sur le caractère sensible des données qu’elle renseigne, notamment en ce que celles-ci peuvent révéler leur appartenance à une communauté ou permettre qu’elles fassent l’objet d’un profilage.

La formation restreinte estime ainsi que l’existence d’une case à cocher dédiée, apposée à l’endroit de la collecte, et de l’information spécifique délivrée sur le caractère sensible des données, répondent à l’exigence d’un consentement exprès.

En l’espèce, elle considère qu’en recueillant le consentement des personnes par le biais d’une seule et unique case à cocher relative à trois informations distinctes (la majorité, l’acceptation des CGU et l’acceptation du traitement des données relatives à l’orientation sexuelle) diluant ainsi l’information portant sur les données relatives à l’orientation sexuelle parmi d’autres, la société n’a pas recueilli le consentement exprès des utilisateurs du site internet de la société au traitement de leurs données sensibles.

La formation restreinte relève également que cette case à cocher, en tant qu’elle ne vise que les données relatives à l’orientation sexuelle, ne permet pas aux utilisateurs de consentir à la collecte et au traitement des données relatives à leurs origines raciales ou ethniques ainsi qu’à leurs opinions religieuses, lesquelles peuvent être renseignées de manière facultative dans leurs profils. Si les utilisateurs sont informés au moment où ils remplissent leurs profils que cette information est une donnée sensible , la société ne recueille pas leur consentement exprès, en l’absence de case à cocher.

Elle considère à ce titre qu’il revenait à la société de mettre en place une case dédiée au moment où l’utilisateur souscrit au service de rencontre et, soit de remplacer le terme orientation sexuelle par données sensibles , soit de mettre en place une case à cocher distincte au moment où les utilisateurs complètent leurs profils et renseignent des données sensibles autres que leur orientation sexuelle.

Ainsi, la société n’a pas pris toutes les mesures nécessaires, dans le délai imparti par la mise en demeure, pour recueillir un tel consentement alors même qu’elle a obtenu un délai supplémentaire pour s’y conformer et a fait l’objet d’un accompagnement important et continu de la part de la Commission dans sa démarche de conformité. La formation restreinte souligne que les exigences liées au recueil du consentement des données sensibles lui avaient clairement été indiquées dans le courrier du 19 avril 2016 précité lequel rappelait expressément que la fusion des informations relatives au consentement à la collecte des données sensibles, à l’acceptation des CGU et à la condition de majorité retire tout caractère spécifique à l’information relative aux données sensibles et ainsi ne permet pas de conférer au consentement un caractère exprès .

Elle relève par ailleurs que la société avait notamment été invitée par la Présidente de la CNIL à recueillir le consentement des personnes à la collecte et au traitement de leurs données sensibles par l’intermédiaire d’une case à cocher distincte et à remplacer le terme mon orientation sexuelle par mes données sensibles afin d’inclure l’ensemble des données sensibles pouvant être collectées auprès des utilisateurs . La formation restreinte considère dès lors que les exigences de la mise en demeure ainsi que les échanges qui ont suivis étaient dénués de toute ambiguïté quant à ce qui était demandé à la société.

La formation restreinte note néanmoins que la société s’est mise en conformité sur un certain nombre de manquements relevés dans le cadre de la mise en demeure qui lui a été adressée le 24 juin 2015. Elle prend également acte des modifications proposées par la société dans le cadre de ses observations en date du 20 octobre 2016 et réitérées à l’oral lors de la séance de la formation restreinte, s’agissant de la mise en œuvre d’une case dédiée relative au traitement des données sensibles des utilisateurs de son site internet.

Toutefois, la formation restreinte rappelle que la circonstance que la société ait mis en phase de test, quelques jours avant l’audience, une nouvelle case à cocher qui serait de nature à répondre aux exigences formulées dans la mise en demeure de la Présidente de la CNIL, est sans incidence sur la caractérisation du manquement, ce dernier se cristallisant à l’expiration du délai prorogé de la mise en demeure, c'est-à-dire à la fin du mois de janvier 2016.

De la même manière, la formation restreinte estime que les pratiques alléguées de certains autres acteurs du secteur visés par la société ne sauraient exonérer cette dernière de ses propres obligations ni, a fortiori, légitimer le manquement retenu, à son encontre, à l’article 8 de la loi du 6 janvier 1978 modifiée.

Enfin, la formation restreinte rappelle que le fait, pour la personne concernée, de renseigner spontanément les données relatives à son orientation sexuelle, ses origines raciales ou ethniques, ou ses opinions religieuses, ne saurait être considéré comme un consentement exprès dès lors que la personne n’a pas nécessairement conscience du caractère sensible de ces données et des conséquences possibles de leur divulgation.

La formation restreinte considère en conséquence que la société n’a pas respecté les termes de la décision la mettant en demeure de respecter les dispositions de l’article 8 de la loi du 6 janvier 1978 modifiée dans le délai qui lui était imparti.

Sur la sanction et la publicité

La formation restreinte considère que le manquement à l’article 8 de la loi du 6 janvier 1978 modifiée a persisté au-delà du délai imparti par la mise en demeure de la Présidente de la Commission et justifie que soit prononcée une sanction d’un montant de 20.000 € à l’encontre de la société. En outre, elle estime les faits d’une particulière gravité au regard de la nature des données traitées et du volume de personnes concernées par le traitement en cause, à savoir au moins […] comptes d’abonnés actifs et, au plus, […] comptes en bases de données.

Compte tenu de la gravité du manquement commis par la société, ainsi que de la nécessité de sensibiliser les internautes et les responsables de traitements quant à leurs droits et obligations respectifs en la matière, la formation restreinte décide de rendre publique sa décision.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide :

de prononcer à l’encontre de la société X une sanction pécuniaire d’un montant de 20.000 € ;de rendre publique sa délibération, qui sera anonymisée à l’expiration d’un délai d’un an à compter de sa publication.

Le Président

Jean-François CARREZ

Cette décision peut faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.



Nature de la délibération: SANCTION
Date de la publication sur legifrance: 30 décembre 2016

Date de l'article :