Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code pénal ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 45 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;
Vu la décision n° 2014-235C du 23 septembre 2014 de la Présidente de la Commission nationale de l’informatique et des libertés de procéder à une mission de vérification auprès des traitements mis en œuvre dans le cadre de la gestion et de l’exploitation des sites internet, et éventuelle application mobile, […] ;
Vu la décision n° 2014-210C du 27 octobre 2014 de la Présidente de la Commission nationale de l’informatique et des libertés de procéder à une mission de vérification de tous traitements relatifs aux sites […] ;
Vu les procès-verbaux de contrôle sur place n° 2014-235/1 du 7 octobre 2014 et n° 2014-235/2 du 8 octobre 2014 ;
Vu les procès-verbaux de constatations en ligne n° 2014-310 du 28 octobre 2014 et n° 2014-310/2 du 7 mai 2015.
I- Constate les faits suivants
La société X (ci-après la société ), sise […], a pour activité principale la mise en ligne et la gestion de neuf sites de rencontre […]. Elle emploie à ce jour quatre salariés, dont trois sont associés, et a dégagé un chiffre d’affaires de (…) sur l’exercice 2013.
En application de la décision n° 2014-235C du 23 septembre 2014 et de la décision n° 2014-210C du 27 octobre 2014 de la Présidente de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission ), une délégation de la CNIL a procédé à une mission de contrôle sur place les 7 et 8 octobre 2014 au sein des locaux de la société X. Elle a également effectué une mission de contrôle en ligne le 28 octobre 2014 sur les sites […]. Enfin, dans le cadre de cette mission de contrôle, la délégation a procédé à un constat complémentaire en ligne le 7 mai 2015 sur le site […]. La délégation s’est attachée à examiner la conformité des traitements de données à caractère personnel mis en œuvre par la société, ou pour son compte, aux dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée, et en particulier ceux relatifs à la gestion et à l’exploitation du site […] (ci-après le site ).
La délégation a été informée que la société a débuté en 2005 par la mise en ligne du site web régional, […], qui compte aujourd’hui plus de (…) inscrits. Au fil de la progression du chiffre d’affaires, la société a mis en ligne d’autres sites régionaux similaires.
La société a effectué auprès de la CNIL une déclaration n° 1174849 le 10 juin 2006 relative au traitement dont les finalités indiquées sont la vente en ligne de biens ou de services, la collecte de données et la déclaration du site […].
La société a indiqué à la délégation de contrôle que le développement des sites qu’elle exploite est fait en interne. La société fait appel à différents prestataires de services pour la modération des sites, l’hébergement des données, la gestion et la sécurisation des serveurs ainsi que pour les transactions bancaires.
La délégation a été informée que le site […] vise uniquement un public hétérosexuel.
Il a été ajouté que l’inscription sur le site est gratuite et que l’utilisation du site est entièrement gratuite pour les femmes. Certaines fonctionnalités sont payantes pour les hommes via un abonnement. La société a indiqué que ses revenus sont basés exclusivement sur les abonnements payants et que l’ensemble des sites gérés par la société compte environ (…) abonnés payants. Ces derniers sont de durées variables (1 mois, 3 mois ou 6 mois) payables par prélèvement unique et automatiquement reconduits pour la même durée à moins que l’utilisateur n’ait désactivé cette option.
Au jour du contrôle, la délégation a recensé, sur les neufs sites gérés par la société, plus d’un million de profils inscrits au total dont seuls (…) profils sont actifs. Le site […] compte (…) profils inscrits dont (…) profils sont actifs.
La délégation a par ailleurs constaté que le formulaire d’inscription sur le site […] nécessite de renseigner des données obligatoires telles que l’email, le code postal, la ville, la date de naissance. Une fois validée, la fiche profil est ensuite complétée par des données facultatives dont certaines sont des données relatives à la religion et à l’origine ethnique des personnes.
La délégation a en outre été informée que la société peut refuser, supprimer et exclure des profils des utilisateurs qui ne respectent pas les conditions générales du site ou qui présentent un risque avéré de fraude.
Enfin, au cours de la mission de contrôle sur place, la délégation a constaté, en se connectant au site […], le dépôt de plusieurs cookies sur son équipement terminal de communications électroniques et ce, dès l’arrivée sur la page d’accueil et sans aucune information. A cet égard, la société a indiqué à la Commission, par courriel en date du 22 octobre 2014, avoir procédé à des mesures correctives sur l’ensemble de ses sites.
II - Sur les manquements constatés au regard des dispositions de la loi du 6 janvier 1978 modifiée
Un manquement à l’obligation d’accomplir les formalités préalables à la mise en œuvre du traitement
En premier lieu, la délégation a constaté, dans la base de données […] , que la société met en œuvre une détection automatique des profils (…)
En second lieu, la délégation a été informée que la société met en œuvre un contrôle automatisé et systématique de chaque profil lors de l’inscription ou en cours d’utilisation. (…). En cas de doute sur la véracité d’un profil, de détection d’un texte racoleur, d’un pseudo étrange ou d’un profil non conforme aux conditions générales, le service modération refuse le profil et/ou le contenu et retransmet l’information à la société qui décide de la suppression du profil.
L’utilisateur qui fait l’objet d’une exclusion définitive (…) en est informé via l’envoi d’un courrier électronique.
Ce traitement automatisé est susceptible d’exclure des personnes du bénéfice d’un contrat ou d’une prestation. Il relève donc du régime de l’autorisation. Or, la société n’a procédé à aucune demande d’autorisation auprès de la Commission concernant un tel traitement.
Ces faits constituent un manquement aux dispositions du 4° de l’article 25-I de la loi du 6 janvier 1978 modifiée qui dispose que, sont mis en œuvre après autorisation de la CNIL, Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire .
Il est rappelé qu’en application des articles 226-16 alinéa 1er et 226-24 du code pénal combinés, le fait pour une personne morale, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni d’une peine d’amende pouvant atteindre 1.500.000 €.
Un manquement à l’obligation de recueillir le consentement exprès de la personne concernée pour le traitement de données sensibles relatives aux origines ethniques ou raciales et aux opinions religieuses des personnes
La délégation a constaté lors du contrôle sur place complété par le contrôle en ligne en date du 7 mai 2015, sur le site […], que l’utilisateur peut compléter son profil après son inscription sur le site, via un menu déroulant, en précisant son origine ethnique ( européen , africain , arabe , kabyle , asiatique , hispanique , indien ou métisse ) ainsi que sa religion ( athée , bouddhiste , catholique , juif , musulman , protestant ou autre ).
L’article 8 de la loi du 6 janvier 1978 modifiée prévoit notamment qu’il est interdit de collecter ou de traiter des données à caractère personnel qui sont relatives aux origines raciales ou ethniques des personnes, sauf dans les cas prévus au II de cet article, notamment en cas de consentement exprès des personnes concernées.
Or, le consentement ne peut être exprès que s’il est donné en toute connaissance de cause c’est-à-dire après la délivrance d’une information adéquate sur l’usage qui sera fait des données personnelles.
En l’espèce, aucun moyen technique à l’endroit de la collecte n’est mis à la disposition de la personne auprès de laquelle les données sensibles sont collectées et traitées afin de s’assurer qu’elle y consent de manière expresse sur la base d’une information spécifique.
La Commission considère que le fait, pour la personne concernée, de renseigner ses données sensibles, ne saurait être considéré comme un consentement exprès. En effet, l'utilisateur doit pouvoir marquer son assentiment en cochant une case dédiée à l'approbation de l'usage de ses données personnelles sensibles auquel il consent, ce qui n’est pas le cas en l’espèce.
Ces faits constituent un manquement à l’article 8 de la loi du 6 janvier 1978 modifiée susmentionné.
Il est rappelé enfin qu’en application des articles 226-19 et 226-24 du code pénal combinés, le fait pour une personne morale, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle de celles-ci, est puni d’une peine d’amende pouvant atteindre 1.500.000€.
Un manquement à l’obligation d’informer les personnes
La délégation a constaté que le formulaire d’inscription sur le site […] et les pages permettant à l’utilisateur de compléter son profil imposent de renseigner des données à caractère personnel.
Or, si un lien sur le formulaire d’inscription renvoie vers les conditions générales, lesquelles proposent une information relative au traitement de données à caractère personnel, aucune mention d’information conformément à l’article 32 de la loi du 6 janvier 1978 modifiée ne figure directement sur celui-ci.
Ces faits constituent un manquement à l’article 32-I de la loi n° 78-17 du 6 janvier 1978 modifiée qui dispose que :
I.-La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant :
1° De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
2° De la finalité poursuivie par le traitement auquel les données sont destinées ;
3° Du caractère obligatoire ou facultatif des réponses ;
4° Des conséquences éventuelles, à son égard, d’un défaut de réponse ;
5° Des destinataires ou catégories de destinataires des données ;
6° Des droits qu’elle tient des dispositions de la section 2 du présent chapitre ;
7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne.
Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.
Il est également rappelé qu’en application des articles 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas informer, dans les conditions prévues à l’article 32 de la loi du 6 janvier 1978 modifiée, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est puni d’une peine d’amende pouvant atteindre 7.500 €.
Un manquement à l’obligation de définir et respecter une durée de conservation proportionnée à la finalité du traitement
Dans sa déclaration n° 1174849 précitée, la société a indiqué conserver les données à caractère personnel de ses utilisateurs pendant la durée de l’abonnement + 1 mois .
La délégation a constaté que le formulaire de désinscription indique à l’utilisateur souhaitant se désinscrire du site que L’action de désinscription est définitive […] et toutes les informations vous concernant seront détruites .
Or, la délégation a constaté que la table précitée contient des données d’utilisateurs ayant supprimé leur profil depuis 2009 ; la plus ancienne demande de désinscription, et donc de suppression, remontant au 18 février 2009.
La délégation a constaté en outre que la table users de la base de données du site web […] contient (…) profils au total. Parmi ces profils, (…) ont été interdits par la modération, (…) ont un statut supprimé soit du fait de la modération soit à la demande d’un utilisateur et seuls (…) profils sont actifs.
Il en résulte que la société n’a ni défini ni mis en œuvre de durées de conservation des données caractère personnel qu’elle collecte qui soient proportionnées aux finalités de la collecte et du traitement.
Ces faits constituent un manquement aux obligations découlant du 5° de l’article 6 de la loi du 6 janvier 1978 modifiée qui prévoit que les données à caractère personnel sont conservées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Il est en outre rappelé qu’en application des articles 226-20 et 226-24 du code pénal combinés, le fait pour une personne morale, de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d’autorisation ou d’avis, ou par la déclaration préalable adressée à la Commission nationale de l’informatique et des libertés, est puni d’une peine d’amende pouvant atteindre 1.500.000 €.
Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données
(…)
Eu égard notamment à la sensibilité des données traitées, ces faits constituent un manquement à l’article 34 de la loi n° 78-17 du 6 janvier 1978 disposant que Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .
Il est en outre rappelé qu’en application des articles 226-17 et 226-24 du code pénal combinés, le fait pour une personne morale de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni d’une peine d’amende pouvant atteindre 1.500.000 €.
En conséquence, la société X, sise […], est mise en demeure, sur l’ensemble de ses sites internet, sous un délai de trois (3) mois, à compter de la notification de la présente décision et sous réserve des mesures qu’elle aurait déjà pu adopter, de :
procéder à l’accomplissement des formalités préalables applicables aux traitements mis en œuvre, en particulier procéder à une demande d’autorisation en ce qui concerne les traitements de données susceptibles d’exclure des personnes ;
recueillir le consentement exprès des personnes, à la collecte et au traitement de leurs données sensibles - en l’espèce, des données relatives aux origines ethniques ou raciales et aux opinions religieuses des personnes - par tout procédé, tel qu’une case à cocher, apposé à l’endroit de la collecte afin de garantir leur consentement exprès ;
procéder à l’information des utilisateurs des sites, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée, directement sur tous les formulaires de collecte des données, des traitements de leurs données à caractère personnel ;
définir et mettre en œuvre une politique de durée de conservation des données relatives aux utilisateurs (abonnés et non abonnés), qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et notamment :
procéder à la modification de la déclaration préalable du traitement de gestion des utilisateurs du site web afin de définir les durées de conservation des données à caractère personnel visant l’ensemble des personnes concernées (abonnés et non abonnés) ;
procéder à la purge des données relatives aux comptes désinscrits et inutilisés ou procéder à leur archivage intermédiaire, et ce pendant la durée nécessaire aux finalités pour lesquelles elles sont collectées et après avoir opéré un tri des données pertinentes à archiver ;
adopter les mesures visant à assurer la sécurité et la confidentialité des données
(…)
justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.
À l’issue de ce délai, si la société X s’est conformée à la présente mise en demeure, il sera considéré que la procédure est close et un courrier lui sera adressé en ce sens.
À l’inverse, si la société X ne s’est pas conformée à la présente mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de la Commission de prononcer l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée.