Votre navigateur ne reconnait pas le javascript. Veuillez le mettre à jour.Sanction de la CNIL pour X

Sanction CNIL pour X 1

Sanction CNIL pour X

Décision 2015-058 du 24 juin 2015


Commission Nationale de l'Informatique et des LibertésDécision n°2015-058 du 24 juin 2015Décision n° 2015-058 du 24 juin 2015 mettant en demeure la société XEtat: VIGUEUR

La Présidente de la Commission nationale de l’informatique et des libertés,

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code pénal ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 45 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2014-279C du 9 octobre 2014 de la présidente de la Commission nationale de l’informatique et des libertés de procéder à une mission de contrôle auprès de la société X ;

Vu les décisions n° 2014-282C et 2014-283C du 9 octobre 2014 de la présidente de la Commission nationale de l’informatique et des libertés de procéder respectivement à une mission de vérification auprès des traitements mis en œuvre dans le cadre de la gestion et de l’exploitation des sites internet YY et ZZ, et éventuelle application mobile ;

Vu les procès-verbaux de contrôle sur place n° 2014-279/1, 2014-282/1 et 2014-283/1 du 23 octobre 2014 ;

Vu le procès-verbal de constatations en ligne n° 2014-279/CEL1 du 20 mai 2015 ;

Vu le procès-verbal d’audition n° 2014-279/2 du 18 juin 2015.

I- Constate les faits suivants

La société X (ci-après la société ), sise […], a pour activité principale l’exploitation et la gestion d’une trentaine de sites de rencontre et notamment des sites web YY et ZZ (ci-après les sites ). Elle est composée d’un gérant et de deux salariés. Elle a dégagé un chiffre d’affaires de (…) euros sur l’exercice 2013.

En application des décisions n° 2014-279C, 2014-282C et 2014-283C du 9 octobre 2014 de la Présidente de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission ), une délégation de la CNIL a procédé à une mission de contrôle sur place le 23 octobre 2014 auprès de la société X dans ses locaux situés […]. Des constats complémentaires ont été effectués en ligne le 20 mai 2015 s’agissant en particulier des cookies sur les sites. Enfin, le gérant de la société X a été auditionné dans les locaux de la CNIL le 18 juin 2015. La délégation s’est attachée à examiner la conformité des traitements de données à caractère personnel mis en œuvre par la société, ou pour son compte, aux dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée, et en particulier ceux relatifs à la gestion et à l’exploitation des sites web YY et ZZ.

La société a effectué, auprès de la CNIL, un engagement de conformité à la norme simplifiée n° 48 le 16 décembre 2009 relative à la gestion de clients et de prospects, enregistrée sous le n° 1402580.

La délégation a été informée que la société gère une trentaine de sites, hébergés sur la même infrastructure, spécialisés dans les rencontres par affinités, à partir d’une seule base de données. La société gère ainsi des sites permettant à des personnes partageant notamment les mêmes opinions religieuses ou politiques, hobbies et passions de se rencontrer. Le site YY permet à des personnes de se rencontrer en fonction de leurs préférences culinaires ; le site ZZ met en relation des personnes qui ont les mêmes opinions politiques.

Au total, la délégation a recensé sur l’ensemble des sites gérés par la société plus de (…) de comptes inscrits. Parmi ces comptes, seuls (…) sont des comptes actifs. Sur les deux sites contrôlés, YY et ZZ la délégation a recensé (…) comptes inscrits dont (…) comptes actifs.

La délégation a été informée que la société fait appel à différents prestataires de services pour la technologie du chat, l’hébergement des données, le monitoring serveur et les transactions bancaires. (…)

La délégation a été informée que les sources de revenus de la société sont l’affiliation sur Internet (…) et les abonnements souscrits par les utilisateurs des sites qui leur permettent d’accéder à l’ensemble des fonctionnalités des sites. La délégation a recensé environ (…) abonnés payants sur l’ensemble des sites gérés par la société dont (…) sur les deux sites susvisés. Ces abonnements sont de durées variables (1 mois, 2 mois, 3 mois, 6 mois ou 12 mois), payables en une seule fois et reconductibles automatiquement à moins que l’utilisateur n’ait désactivé cette option.

La délégation a constaté que le formulaire d’inscription sur le site YY nécessite de renseigner des données obligatoires (sexe, date de naissance, adresse email, pseudo et un mot de passe) ; le site ZZ propose un formulaire simplifié qui nécessite de renseigner de manière obligatoire certaines données (sexe, date de naissance et adresse email). Pour ces deux sites, la délégation a constaté que le profil peut ensuite être complété par des données facultatives, dont certaines sont des données relatives à l’origine ethnique des personnes.

La délégation a été informée que la société peut refuser ou supprimer des profils des utilisateurs qui ne respectent pas les conditions d’utilisation des sites ou qui présentent un risque avéré de fraude. Le modérateur peut également décider d’interdire de manière temporaire l’accès aux sites à un utilisateur à partir de (…)

La délégation a par ailleurs constaté lors du contrôle sur place et confirmé par un contrôle en ligne, le dépôt de cookies soumis au consentement dès l’arrivée sur la page d’accueil des deux sites précités. Elle a également constaté qu’aucun bandeau d’information relatif aux cookies n’apparait sur la page d’accueil de ces sites.

II- Sur les manquements constatés au regard des dispositions de la loi du 6 janvier 1978 modifiée

Un manquement à l’obligation d’accomplir les formalités préalables à la mise en œuvre du traitement

La délégation a constaté, dans le cadre de la modération, que la société peut procéder à l’exclusion d’un utilisateur qui ne respecte pas les conditions d’utilisation des sites ou si son profil est considéré comme suspect. L’utilisateur qui fait l’objet d’une exclusion (…) en est informé via l’envoi d’un courrier électronique.

La délégation a recensé (…) comptes ayant fait l’objet d’une exclusion, depuis plus d’un an, sur les sites web YY et ZZ et (…) comptes sur l’ensemble des sites gérés par la société X.

(…)

Ce traitement automatisé de données à caractère personnel est susceptible d’exclure des personnes du bénéfice d’un contrat ou d’une prestation. Il relève donc du régime de l’autorisation en matière de formalités préalables auprès de la CNIL. Or, la société n’a procédé à aucune demande d’autorisation auprès de la Commission concernant un tel traitement.

Ces faits constituent un manquement aux dispositions du 4° de l’article 25-I de la loi du 6 janvier 1978 modifiée qui dispose que, sont mis en œuvre après autorisation de la CNIL, Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire .

Il est rappelé qu’en application des articles 226-16 alinéa 1er et 226-24 du code pénal combinés, le fait pour une personne morale, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation de recueillir le consentement de la personne concernée pour le traitement de données sensibles relatives aux origines ethniques ou raciales des personnes

La délégation a constaté que, lors de l’inscription sur les sites YY et ZZ, les membres peuvent, via un menu déroulant, préciser leur origine : européenne , africaine , hispanique , indiennes , asiatique , métisse .

L’article 8 de la loi du 6 janvier 1978 modifiée prévoit notamment qu’il est interdit de collecter ou de traiter des données à caractère personnel qui sont relatives aux origines raciales ou ethniques des personnes, sauf dans les cas prévus au II de cet article, notamment en cas de consentement exprès des personnes concernées.

Or, le consentement ne peut être exprès que s’il est donné en toute connaissance de cause, c’est-à-dire après la délivrance d’une information adéquate sur l’usage qui sera fait des données personnelles.

En l’espèce, la délégation a constaté que le site YY contient l’information suivante sur la page intitulée Politique de confidentialité : La saisie de ces informations […] dites sensibles, est susceptible sous votre responsabilité, de révéler votre origine ethnique, vos opinions politiques, philosophiques et/ou religieuses, votre nationalité et/vos orientations sexuelles. La saisie de ces données étant facultative, en choisissant de remplir les champs de saisie facultatifs, vous acceptez de rendre ces informations publiques et de fait, formulez votre consentement explicite au traitement de ces données par notre Service de rencontre et nos partenaires via votre profil . Si l’information délivrée est complète sur la nature des données collectées, aucun moyen technique à l’endroit de la collecte n’est mis à la disposition de la personne auprès de laquelle les données sensibles sont collectées et traitées afin de s’assurer qu’elle y consent de manière exprès.

Or, la Commission considère que le fait, pour la personne concernée, de renseigner ses données sensibles, ne saurait être considéré comme un consentement exprès. En effet, l’utilisateur doit pouvoir marquer son assentiment en cochant une case dédiée à l’approbation de l’usage de ses données personnelles sensibles auquel il consent, ce qui n’est pas le cas en l’espèce.

Ces faits constituent un manquement à l’article 8 de la loi du 6 janvier 1978 modifiée susmentionné.

Il est rappelé enfin qu’en application des articles 226-19 et 226-24 du code pénal combinés, le fait pour une personne morale, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle de celles-ci, est puni d’une peine d’amende pouvant atteindre 1.500.000€.

Un manquement à l’obligation d’informer les personnes

La délégation a constaté que les formulaires d’inscription sur les sites YY et ZZ et les pages permettant à l’utilisateur de compléter son profil imposent de renseigner des données à caractère personnel.

Or, si un lien sur ces formulaires d’inscription renvoie vers les conditions générales d’utilisation et la politique de confidentialité des sites, aucune mention d’information conformément à l’article 32 de la loi du 6 janvier 1978 modifiée ne figure directement sur celui-ci.

Ces faits constituent un manquement à l’article 32-I de la loi n° 78-17 du 6 janvier 1978 modifiée qui dispose que :

I.-La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant :

1° De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Du caractère obligatoire ou facultatif des réponses ;

4° Des conséquences éventuelles, à son égard, d’un défaut de réponse ;

5° Des destinataires ou catégories de destinataires des données ;

6° Des droits qu’elle tient des dispositions de la section 2 du présent chapitre ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne.

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

Il est également rappelé qu’en application des articles 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas informer, dans les conditions prévues à l’article 32 de la loi du 6 janvier 1978 modifiée, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est puni d’une peine d’amende pouvant atteindre 7.500 €.

Un manquement à l’obligation de définir et respecter une durée de conservation des données proportionnées à la finalité du traitement

La société a effectué, auprès de la CNIL, un engagement de conformité à la norme simplifiée n° 48 relative à la gestion des clients et prospects, le 16 décembre 2009 (n° 1402580). La société s’est en conséquence engagée à respecter la durée de conservation définie par celle-ci, à savoir, la durée strictement nécessaire à la gestion de la relation commerciale . Cette norme prévoit également la possibilité de conserver certaines données en archives : les données permettant d’établir la preuve d’un droit ou d’un contrat, ou, conservées au titre du respect d’une obligation légale peuvent être archivées conformément aux dispositions en vigueur (notamment celles prévues par le code de commerce, le code civil et le code de la consommation) .

La délégation a par ailleurs constaté que la société informe les utilisateurs dans les conditions d’utilisation des sites que La résiliation de votre inscription prend effet automatiquement. L’interruption de celui-ci engendre la suppression complète de votre compte ainsi que de vos messages et de toutes les données personnelles vous concernant en notre possession .

En l’espèce, la délégation a été informée, au cours du contrôle sur place, qu’aucune purge de la base de données de production (base active) n’est mise en place et qu’aucune durée de conservation relative aux données collectées sur les sites n’a été définie. Il a été précisé, en particulier lors de l’audition du gérant, qu’en cas de désinscription par un utilisateur, le champ date_desinscription de la ligne associée au profil de l’utilisateur, est renseigné en base de données pour signaler la suppression du compte et la date de la suppression ; en cas de suppression à l’initiative de la société, le champ date_banned est renseigné. Les données associées à ces comptes sont conservées sans limite en base active, sans aucun archivage, à l’exception des photographies qui sont supprimées.

La délégation a ainsi recensé, à partir de la table users_param , contenue dans la base de données liée aux sites de la société X, plus de (…) de comptes inscrits. Parmi ces comptes, et en particulier, s’agissant des sites YY et ZZ, la délégation a recensé (…) comptes inscrits au total dont (…) comptes ont fait l’objet d’une désinscription volontaire et dont (…) comptes ont été désactivés par la modération. Ces comptes sont conservés en base de production sans limite. La délégation a ainsi constaté que la plus ancienne demande de désinscription, et donc de suppression, remonte au 2 janvier 2010 ; la plus ancienne exclusion remontant au 20 mai 2010.

La société a encore précisé qu’en base de données, un certain nombre de tables contiennent des données personnelles qui correspondent à des fonctionnalités abandonnées et qu’elles sont conservées sans limitation de durée. De plus, la délégation a été informée et a constaté que les éléments modérés et supprimés sont stockés en base de données de production afin de conserver la preuve de l’action de modération. Aucune règle d’effacement n’a été définie concernant ces informations.

Enfin, la délégation a été informée que sur les deux sites contrôlés, la table users_param contient (…) comptes actifs, soit (…) comptes considérés comme inactifs par la société, sans qu’aucune action de purge n’ait été effectuée.

Une telle conservation apparaît excessive au regard de la finalité du traitement. En effet, la société s’est engagée à ne conserver en archives que les seules données dont elle a besoin pour établir la preuve d’un droit ou d’un contrat ou pour lui permettre de respecter une obligation légale, et ce pour les durées spécifiquement prévues par les textes applicables, ce qui n’est pas le cas en l’espèce.

Il en résulte que la société n’a ni défini ni mis en œuvre de durées de conservation des données caractère personnel qu’elle collecte qui soient proportionnées aux finalités de la collecte et du traitement.

L’ensemble de ces faits constitue un manquement aux obligations découlant du 5° de l’article 6 de la loi du 6 janvier 1978 modifiée qui prévoit que les données à caractère personnel sont conservées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Il est en outre rappelé qu’en application des articles 226-20 et 226-24 du code pénal combinés, le fait pour une personne morale, de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d’autorisation ou d’avis, ou par la déclaration préalable adressée à la Commission nationale de l’informatique et des libertés, est puni de 1.500.000 € d’amende.

Un manquement à l’obligation d’informer et d’obtenir l’accord préalable des personnes concernées avant d’inscrire des informations (cookies) sur leur équipement terminal de communications électroniques ou d’accéder à celles-ci (lecture des cookies)

L’article 32-II de la loi du 6 janvier 1978 modifiée dispose que Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement;

des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur .

Les cookies nécessitant une information et un consentement préalables de l’internaute sont notamment les cookies liés aux opérations relatives à la publicité ciblée et les cookies traceurs de réseaux sociaux générés par les boutons de partage de réseaux sociaux .

Afin de proposer aux professionnels du secteur des lignes directrices en la matière, la CNIL a adopté la délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs.

Cette recommandation, qui n’a pas de valeur impérative, vise à interpréter les dispositions législatives précitées et à éclairer les acteurs sur la mise en place de mesures concrètes permettant de garantir le respect de ces dispositions, afin, soit qu’ils mettent en œuvre ces mesures, soit qu’ils mettent en œuvre des mesures d’effet équivalent.

Cette recommandation rappelle que la validité du consentement est liée à la qualité de l’information reçue . La Commission recommande donc que ce consentement soit recueilli en deux étapes :

première étape : l’internaute qui se rend sur le site d’un éditeur (page d’accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau : des finalités précises des Cookies utilisés ; de la possibilité de s’opposer à ces Cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ; du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal ;

seconde étape : les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des Cookies nécessitant un recueil du consentement : pour l’ensemble des technologies visées par l’article 32-II précité ; par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d’audience .

En outre, la recommandation indique que l’information doit être visible, mise en évidence et complète .

En l’espèce, la délégation a constaté au cours du contrôle en ligne que lors de sa connexion au site YY, 10 cookies étaient déposés sur son équipement terminal et 13 en se connectant au site ZZ. Au cours de l’audition du gérant, il a été précisé que les cookies ayant pour noms de domaine doubleclick.net ont une finalité publicitaire.

La délégation a également constaté l’absence de toute information relative aux cookies sur la page d’accueil des sites.

Dès lors, l’internaute n’est pas informé de :

la finalité publicitaire de certains des cookies déposés ;

la possibilité de changer les paramètres des cookies et les moyens mis à sa disposition pour refuser leur dépôt ;

ce qu’une action positive de sa part, à savoir la poursuite de la navigation sur le site, est requise pour exprimer son accord au dépôt des cookies.

Par ailleurs, la délégation a constaté que le dépôt de cookies dans l’équipement terminal de communications électroniques de l’internaute s’opère dès la connexion au site web, avant toute action de la part de l’internaute tendant à poursuivre sa navigation sur les sites.

Au regard de ce qui précède, il apparaît que les sites web n’informent pas les personnes concernées et ne recueillent leur consentement avant de procéder au dépôt des cookies.

L’ensemble de ces faits constitue un manquement au II de l’article 32 précité de la loi n° 78-17 du 6 janvier 1978 modifiée qui soumet notamment à information et à accord préalables de l’internaute le dépôt de tels cookies.

En outre, il est rappelé qu’en application des articles 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas informer les personnes concernées et obtenir leur accord avant d’accéder à ou d’inscrire des informations dans leur équipement terminal de communications électroniques est puni d’une peine d’amende pouvant atteindre 7.500 euros.

Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données

(…)

Eu égard notamment à la sensibilité des données traitées, ces faits constituent un manquement à l’article 34 de la loi n° 78-17 du 6 janvier 1978 disposant que Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

Il est en outre rappelé qu’en application des articles 226-17 et 226-24 du code pénal combinés, le fait pour une personne morale de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation de veiller à la confidentialité des données

La délégation a constaté que les contrats conclus entre la société et ses prestataires de services, notamment avec le prestataire en charge de l’hébergement de données, (…) ne prévoient pas de clauses relatives aux obligations du sous-traitant en matière de sécurité et de confidentialité des données personnelles et de ce que le sous-traitant ne peut agir que sur instruction du responsable de traitement.

Ces faits constituent un manquement aux dispositions de l’article 35 de la loi n° 78-17 du 6 janvier 1978 qui dispose notamment que Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement .

En conséquence, la société X, sise […], est mise en demeure, sur l’ensemble de ses sites internet, sous un délai de trois (3) mois à compter de la notification de la présente décision et sous réserve des mesures qu’elle aurait déjà pu adopter, de :

procéder à l’accomplissement des formalités préalables applicables aux traitements mis en œuvre, en particulier procéder à une demande d’autorisation en ce qui concerne les traitements de données susceptibles d’exclure des personnes ;

recueillir le consentement exprès des personnes à la collecte et au traitement de leurs données sensibles - en l’espèce des données relatives aux origines ethniques ou raciale des personnes – par tout procédé, tel qu’une case à cocher, apposé à l’endroit de la collecte afin de garantir leur consentement exprès ;

procéder à l’information des utilisateurs des sites, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée, directement sur le formulaire de collecte des données, des traitements de leurs données à caractère personnel ;

définir et mettre en œuvre une politique de durée de conservation des données relatives aux utilisateurs qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées, et notamment :

respecter la durée de conservation des données à caractère personnel telle qu’indiquée dans l’engagement de conformité à la norme simplifiée n° 48 relative à la gestion des clients et des prospects, en particulier conserver les données des clients uniquement pendant la durée de la relation commerciale, en dehors des prescriptions légales applicables ; à défaut procéder à la modification de cette déclaration et justifier de la durée de conservation choisie ;

procéder à la purge des données relatives aux comptes désinscrits et inutilisés ou procéder à leur archivage intermédiaire, et ce pendant la durée nécessaire aux finalités pour lesquelles elles sont collectées et après avoir opéré un tri des données pertinentes à archiver ;

informer et obtenir l’accord préalable des personnes concernées à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci (lecture des cookies). A cet égard, il appartient à la société, sauf à mettre en place un dispositif présentant les mêmes garanties:

d’indiquer aux personnes concernées, au préalable et de manière claire et complète, sur un bandeau d’information par exemple, présent sur la page d’accueil du site web :

les finalités de tous les cookies soumis au consentement ;

que la personne concernée à la possibilité de changer les paramètres des cookies en cliquant sur un lien présent dans le bandeau. Ce bandeau doit renvoyer vers une page présentant les solutions adéquates mises à la disposition des personnes concernées pour accepter ou refuser le dépôt des cookies ;

que la poursuite de la navigation vaut consentement au dépôt des cookies ;

de conditionner cette inscription et cet accès à une action positive préalable des personnes concernées ;

adopter les mesures visant à assurer la sécurité et la confidentialité des données,

(…)

prévoir au sein de tous les contrats liant la société avec ses prestataires de services, en particulier de la société (…), des clauses permettant de définir les obligations incombant aux prestataires en matière de protection de la sécurité et de la confidentialité des données des clients de la société, et préciser que les prestataires ne peuvent agir que sur instruction du responsable du traitement, conformément aux dispositions de l’article 35 de la loi du 6 janvier 1978 modifiée ;

justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l’issue de ce délai, si la société X s’est conformée à la présente mise en demeure, il sera considéré que la procédure est close et un courrier lui sera adressé en ce sens.

À l’inverse, si la société X ne s’est pas conformée à la présente mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de la Commission de prononcer l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée.

La Présidente

Isabelle FALQUE-PIERROTIN



Nature de la délibération: AVERTISSEMENT
Date de la publication sur legifrance: 30 juillet 2015

Date de l'article :