Par Garance Mathias, Avocat à la Cour (www.avocats-mathias.com).
A la suite de contrôles effectués en octobre 2014, la CNIL avait prononcé en juin 2015 une série de mises en demeure publiques à l’égard de plusieurs sites de rencontres ne respectant pas la loi Informatique et Libertés.
Depuis, la majorité des sites visés a bénéficié de décisions de clôtures desdites mises en demeure les concernant. Toutefois, deux des sites visés ne sont pas parvenus à se mettre en conformité avant la fin du délai imparti par la CNIL. Dans ce contexte, les sociétés, responsable du traitement, ont été sanctionnées par la CNIL le 15 décembre 2016.
Sur les deux sites sanctionnés, la CNIL a pu constater qu’une seule et unique case à cocher permettait à l’utilisateur d’accepter les conditions générales, de certifier sa majorité et d’accepter le recueil de ses données sensibles (notamment, des informations liées à son orientation sexuelle pour permettre que des profils pertinents d’utilisateurs lui soient proposés).
A l’aide d’arguments divers, tous restés sans effet, les sociétés ont tenté de justifier cette pratique auprès de la CNIL. Ce n’est qu’après le délai imparti par la CNIL pour se conformer à la mise en demeure qu’elles ont modifié leur pratique.
Pour la CNIL, il s’agit de « faits d’une particulière gravité au regard de la nature des données traitées et du volume de personnes concernées ». Dans ce contexte, les sanctions pécuniaires prononcées ont été rendues publiques. Elles ne seront anonymisées qu’au bout d’un an. Notons que lesdites sanctions pécuniaires sont finalement plus basses que celles préconisées par le rapporteur : 10.000€ pour l’une et 20.000€ pour l’autre (Délibération n°2016-405 ; Délibération n°2016-406).
Ces deux délibérations sont l’occasion de se pencher sur certaines des problématiques soulevées par les sites de rencontre au regard de la protection des données personnelles.
Notons toutefois que nos recommandations pratiques pourront plus largement concerner les organismes responsables du traitement qui traitent notamment des données sensibles ou susceptibles de constituer des fichiers d’exclusion.
Informer les personnes
L’article 32 de la loi Informatique et Libertés soumet le responsable de traitement à une obligation d’information des personnes dont il collecte les données. En pratique, indépendamment de l’activité du site, l’information peut être délivrée au moment de l’inscription par le biais d’une mention insérée sur le formulaire.
La CNIL a pu souligner que l’insertion d’un lien vers les conditions générales d’utilisation et la politique de confidentialité du site sans qu’une mention d’information ne figure directement sur le formulaire d’inscription ne suffisait pas à satisfaire aux exigences de la loi Informatique et Libertés.
Les articles 13 et 14 du Règlement Général sur la Protection des Données (RGPD) renforce l’information des personnes. En outre, le RGDP précise que l’information devra, en vertu du principe de transparence nouvellement consacré, être concise, transparente, intelligible et délivrée dans une forme aisément accessible en utilisant un langage clair.
Recueillir le consentement des personnes
Les données sensibles
L’article 8 de la loi Informatique et Libertés pose un principe d’interdiction de la collecte de données à caractère personnel « qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ». Des exceptions au principe d’interdiction sont toutefois prévues par la loi. Parmi ces exceptions, seul le recueil du consentement des personnes est susceptible de bénéficier aux fournisseurs de services de rencontre.
Pour votre information, le principe d’interdiction est maintenu par l’article 9 du RGPD. Le texte prévoit également des exceptions.
L’article 4 du RGPD définit le consentement de la personne concernée comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement« .
Pour rappel, le consentement est libre lorsque la personne est en mesure d’exercer son choix sans intimidation ou tromperies, ce qui explique l’interdiction des cases pré-cochées. La spécificité du consentement interdit tout consentement général. La finalité du traitement doit être clairement énoncée, la personne étant alors en mesure de comprendre l’étendue et les conséquences du traitement. Le caractère individuel du consentement est lié à l’obligation d’information préalable des personnes. Enfin, l’univocité du consentement exige qu’il soit donné sans ambiguïté par la personne.
Lorsque le traitement de données personnelles sera fondé sur le consentement des personnes, il appartiendra au responsable du traitement de démontrer que la personne a bien donné son consentement (article 7 du RGPD). De ce point de vue, le règlement européen n’est pas novateur car le responsable du traitement qui recueille le consentement des personnes aujourd’hui doit disposer d’une solution technique lui permettant de se ménager une preuve de celui-ci.
En revanche, dans l’hypothèse d’un traitement fondé sur le consentement des personnes, celles-ci pourront à tout moment le retirer. Dès lors, le RGPD imposera aux responsables d’un traitement de données à caractère personnel de prévoir une solution de retrait aussi simple que la solution retenue pour recueillir la manifestation de volonté.
En pratique, la CNIL recommande que le consentement des personnes soit recueilli au moyen d’une case à cocher. Soulignons, qu’il convient de mettre en place autant de cases à cocher que de consentement spécifique à recueillir. Autrement, la CNIL pourrait considérer que le consentement exprès n’est pas recueilli, particulièrement pour le consentement à la collecte de données sensibles. Les cases utilisées devront de plus être rendues accessibles aux personnes afin qu’elles puissent être en mesure de retirer leur consentement par la suite.
Le dépôt de cookies
En application de l’article 32, II de la loi Informatique et Libertés, le dépôt de cookies liés aux opérations de publicité ciblée, traceurs de réseaux sociaux (boutons de partage de réseaux sociaux) ou encore liés à la mesure d’audience (Google Analytics) est soumis à un régime d’information et de consentement préalables des personnes.
La recommandation de la CNIL en matière de cookies et traceurs précise que l’information des personnes peut être réalisée au moyen d’un bandeau qui s’affiche sur la page d’accueil du site précisant les finalités des cookies, qu’il est possible de s’opposer aux cookies et contenant un lien hypertexte vers la politique cookies mise en oeuvre sur le site. Ce bandeau doit perdurer tant que la personne n’a pas manifesté son accord. Ce dernier peut résulter des paramétrages du navigateur ou de tout autre dispositif. L’accord des personnes peut également résulter de la poursuite de la navigation sur le site Internet visité. La Commission met par ailleurs des outils et codes sources à disposition des responsables de traitement afin qu’ils mettent leur site en conformité.
Il est donc impératif de vérifier que les cookies précités ne sont pas déposés sur le terminal dès la connexion sur un votre site Internet. Des solutions techniques doivent être utilisées afin que les cookies soient déposés après l’accord des personnes.
Notons que dans le cadre des réflexions en cours sur le règlement « e-privacy », une modification des règles applicables aux cookies pourrait intervenir.
Demander une autorisation de la CNIL pour les fichiers d’exclusion
Les fournisseurs de services de rencontre peuvent être tentés de suspendre des profils en fonction de critères qu’ils déterminent, de supprimer des profils avant toute mise en ligne dans le cadre de leur procédure de modération ou en cas de non respect des conditions générales d’utilisation. Des adresses électroniques et des adresses IP peuvent être bloquées.
Ces traitements automatisés sont regardés par la CNIL comme étant susceptibles d’exclure les personnes du bénéfice d’un contrat ou d’une prestation. En conséquence, ils doivent faire l’objet d’une demande d’autorisation auprès de la CNIL en application de l’article 25, I, 4° de la loi Informatique et Libertés.
Lors de l’analyse de votre projet, il conviendra de bien identifier ces traitements d’exclusion afin de déposer une demande d’autorisation auprès de la CNIL. L’anticipation est ici de mise compte tenu des délais d’instruction des dossiers.
On peut par ailleurs s’interroger sur la possible soumission de ces traitements au régime de l’analyse d’impact prévu à l’article 35 du RGPD compte tenu de leurs impacts sur les droits et libertés des personnes.
Les sanctions
Les manquements à la loi Informatique et Libertés sont susceptibles de donner lieu à des sanctions prononcées par la CNIL. Les sanctions pécuniaires peuvent s’élever à un montant de 3 millions d’euros à l’heure actuelle contre 150 000 euros auparavant : c’est l’une des nouveautés apportées par la loi pour une République Numérique du 7 octobre 2016. A l’entrée en application du règlement européen, qui entend permettre aux autorités de contrôle de prononcer des sanctions « effectives, proportionnées et dissuasives », ces sanctions pourront aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial (le montant choisi entre les deux est le plus élevé).
Il convient donc de préparer votre organisme à l’entrée en vigueur du règlement dès maintenant afin de ne pas être pris au dépourvu.
