Livv
Décisions

CNIL, 24 juin 2015, n° 2015-060

CNIL

Décision

COMPOSITION DE LA JURIDICTION

Présidente :

Mme Falque-Pierrotin

CNIL n° 2015-060

23 juin 2015

La Présidente de la Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code pénal ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 45 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2014-301C du 24 octobre 2014 de la présidente de la Commission nationale de l’informatique et des libertés de procéder à une mission de vérification relative à tout traitement mis en œuvre dans le cadre de la gestion et de l’exploitation du site internet […] et des applications correspondantes ;

Vu le procès-verbal de contrôle sur place n° 2014-301/1 du 7 novembre 2014 et le procès-verbal de constatations en ligne n° 2015-301/2 du 5 mai 2015.

I- Constate les faits suivants

La société X (ci-après la société), sise […], a pour activité principale la mise en ligne et la gestion du site de rencontre […]. Elle emploie 3 personnes et a dégagé un chiffre d’affaires de (…).

En application de la décision n° 2014-301C du 24 octobre 2014 de la Présidente de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission ), une délégation de la CNIL a procédé à une mission de contrôle au sein des bureaux de la société le 7 novembre 2014, ainsi qu’à des constatations en ligne le 5 mai 2015. La délégation s’est attachée à examiner la conformité des traitements de données à caractère personnel mis en œuvre par la société, ou pour son compte, aux dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée, et en particulier ceux relatifs à la gestion et à l’exploitation du site internet […] et des applications correspondantes.

Le 4 mars 2008, la société a déclaré auprès de la CNIL un traitement ayant pour finalité Site de rencontre sur Internet (déclaration n°1280693).

La délégation a été informée sur place que la société a été créée en 2008 afin d’éditer le site de rencontre […] destinée à la communauté maghrébine et aux amoureux du Maghreb .

Afin de devenir membre, l’utilisateur complète un formulaire en ligne nécessitant de renseigner des données obligatoires (nom, prénom, origine, nationalité…) et d’autres facultatives (notamment la religion). Par ailleurs, l’adresse IP est collectée pour identifier sa zone géographique.

Le service de mise en relation avec d’autres membres est gratuit pour les femmes et nécessite la souscription d’un abonnement pour les hommes. D’autres prestations (telles que les services mise en avant ou validation express des photos) demeurent payantes pour tous les membres, quel que soit leur sexe.

Au jour du contrôle sur place, la délégation a recensé (…) comptes dont environ (…) comptes abonnés et (…) comptes inactifs.

La société a indiqué générer (…)% de ses revenus par la souscription d’abonnements. Ces derniers sont de durée variable (1 mois, 3 mois ou 6 mois), payables en une seule fois et automatiquement renouvelés pour la même durée. Les opérations de paiement sont gérées par le prestataire (…).

La société a également indiqué procéder à des actions de modération pouvant conduire à l’exclusion définitive d’un membre, dont certaines sont externalisées auprès de la société (…).

La délégation a constaté sur place qu’en dehors de manœuvres manuelles ponctuelles, la société n’a ni défini ni mis en œuvre de durées de conservation des données des membres inactifs ou désinscrits.

(…)

Enfin, le contrôle en ligne effectué le 5 mai 2015 a permis de constater le dépôt de nombreux cookies dès l’arrivée sur la page d’accueil du site web.

II- Sur les manquements constatés au regard des dispositions de la loi du 6 janvier 1978 modifiée

Un manquement à l’obligation d’accomplir les formalités préalables à la mise en œuvre du traitement et de mettre à jour les traitements déclarés

En premier lieu, la délégation a constaté sur place que la société met en œuvre une détection automatique des profils ayant généré un envoi massif de messages. Dans cette hypothèse, le profil concerné est automatiquement placé en statut ghost , c’est-à-dire qu’il n’est pas visible des autres membres et ne peut générer l’envoi de messages. La société contacte alors le membre concerné aux fins d’avertissement ou d’information de la suppression de son compte.

En deuxième lieu, la délégation a relevé que la société peut procéder à la suppression de comptes à la suite d’une action de modération intervenue en amont de la mise en ligne du profil (en cas de propos ou de photographies contraires aux conditions générales d’utilisation du site) ou après publication du profil sur signalement d’un membre.

Il apparaît que ces traitements automatisés sont susceptibles d’exclure des personnes du bénéfice d’un contrat ou d’une prestation. Ils relèvent donc du régime de l’autorisation en matière de formalités préalables auprès de la CNIL.

Or, la société n’a procédé à aucune demande d’autorisation concernant un tel traitement.

Ces faits constituent un manquement aux dispositions du 4° de l’article 25-I de la loi du 6 janvier 1978 modifiée qui dispose que, sont mis en œuvre après autorisation de la CNIL, Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire .

En troisième lieu, la délégation de contrôle a constaté sur place que la société collecte l’adresse IP des membres ainsi que des informations relatives aux origines raciales ou ethniques et aux opinions religieuses des membres dans le cadre du formulaire d’inscription.

Ces faits constituent également un manquement aux obligations découlant de l’article 30-II de la loi du 6 janvier 1978 modifiée qui dispose que le responsable d’un traitement déjà déclaré ou autorisé informe sans délai la Commission de tout changement affectant les informations mentionnées au I (identité ou adresse du responsable du traitement, finalités, données traitées, durée de conservation, destinataires, etc.) ou de toute suppression du traitement.

Il est rappelé qu’en application des articles 226-16 alinéa 1er et 226-24 du code pénal combinés, le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de 1.500.000 € d'amende.

Un manquement à l’obligation de recueillir le consentement de la personne concernée pour le traitement de données sensibles relatives aux origines raciales ou ethniques ou aux opinions religieuses des personnes

La délégation a constaté en ligne que le site […], qui se présente comme n°1 en France de la rencontre maghrébine et musulmane , impose à l’utilisateur lorsqu’il complète son profil en vue de la création de son compte de préciser son origine ( algérienne , marocaine , tunisienne ou autre ). Il lui propose également de renseigner, de manière facultative, son degré de pratique religieuse sous la rubrique pratiquant ( oui , non , modéré , dans le Din ), de rechercher un autre utilisateur en fonction de ce critère et de préciser, sous l’onglet habitudes alimentaires , les cases pas de porc ou hallal .

L’article 8 de la loi du 6 janvier 1978 modifiée prévoit notamment qu’il est interdit de collecter ou de traiter des données à caractère personnel qui sont relatives aux origines raciales et ethniques et aux opinions religieuses des personnes, sauf dans les cas prévus au II de cet article, notamment en cas de consentement exprès des personnes concernées.

Or, le consentement ne peut être exprès que s’il est donné en toute connaissance de cause c’est-à-dire après la délivrance d’une information adéquate sur l'usage qui sera fait des données personnelles.

En l’espèce, aucun moyen technique à l’endroit de la collecte n’est mis à la disposition de la personne auprès de laquelle les données sensibles sont collectées et traitées afin de s’assurer qu’elle y consent de manière expresse sur la base d’une information spécifique.

La Commission considère que le fait, pour la personne concernée, de renseigner ses données sensibles, ne saurait être considéré comme un consentement exprès. En effet, l’utilisateur doit pouvoir marquer son assentiment en cochant une case dédiée à l’approbation de l’usage de ses données personnelles sensibles auquel il consent, ce qui n’est pas le cas en l’espèce.

Ces faits constituent un manquement à l’article 8 de la loi du 6 janvier 1978 modifiée susmentionné.

Il est rappelé enfin qu’en application des articles 226-19 et 226-24 du code pénal combinés, le fait pour une personne morale, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle de celles-ci, est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation d’informer les personnes

La délégation a constaté en ligne que ni le formulaire d’inscription au site […] ni aucune des pages permettant à l’utilisateur de compléter son profil ne contiennent d’information relative au traitement de données à caractère personnel.

Seul un lien sur le formulaire d’inscription renvoie vers les CGU lesquelles proposent une information relative au traitement en leurs articles 2 ( inscription ) et 5 ( Confidentialité ).

Ces faits constituent un manquement à l’article 32-I de la loi n° 78-17 du 6 janvier 1978 modifiée qui dispose que :

I.-La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant :

1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Du caractère obligatoire ou facultatif des réponses ;

4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;

5° Des destinataires ou catégories de destinataires des données ;

6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne.

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

En effet, le dernier alinéa de l’article 32-I précité précise que lorsque les données sont recueillies par voie de formulaires, certaines informations doivent figurer directement sur celui-ci.

Il est également rappelé qu’en application des articles 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas informer, dans les conditions prévues à l’article 32 de la loi du 6 janvier 1978 modifiée, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est puni d’une peine d’amende pouvant atteindre 7.500 €.

Un manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données

Les CGU du site […] précisent, sous l’article 7.2 modalités de paiement , que les numéros de carte bancaire des membres ne sont collectées et conservées que par le prestataire de paiement (…) et non par la société de manière à préserver la sécurité, la confidentialité, et l'intégrité des numéros de carte bancaire contre tout accès, utilisation ou détournement, communication ou modification non autorisés .

Il est également précisé que la société ne conserve en base qu’un numéro d’ abonné communiqué par l’établissement bancaire qui lui permet d’associer un paiement à un compte utilisateur et d’émettre un ordre de paiement en cas de renouvellement de l’abonnement ou souscription d’un nouveau service.

(…)

A cet égard, la Commission a rappelé, dans sa délibération n° 2013-358 du 14 novembre 2013 portant sur les données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance, qui n’a pas de valeur impérative mais permet d’éclairer les responsables de traitement sur leurs obligations, que la collecte du numéro de carte de paiement ne peut avoir pour finalités que la réalisation d'une transaction, la réservation d'un bien ou d'un service, la création d'un compte de paiement pour faciliter les achats ultérieurs sur le site du commerçant, l'offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement ou encore la lutte contre la fraude à la carte de paiement.

En l’espèce, si la finalité d’authentification d’un interlocuteur telephonique est légitime, le prestataire dispose d’autres données renseignées dans le cadre de la création du compte qui peuvent lui permettre d’atteindre cet objectif (date de naissance, adresse email, code postal, éventuellement numéro de téléphone).

Dès lors, le traitement par la société des coordonnées bancaires des utilisateurs de ses services à des fins d’authentification, outre qu’il contrevient aux CGU, apparait excessif au regard de la finalité poursuivie.

Ces faits constituent des manquements aux obligations découlant du 3° de l’article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée, qui dispose que les données à caractère personnel collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Un manquement à l’obligation de définir une durée de conservation des données proportionnée à la finalité du traitement

En premier lieu, la délégation a constaté sur place la présence dans la base de données de la société de (…) comptes correspondants à des utilisateurs désinscrits (désinscrits volontaires ou par la modération) et de (…) comptes inutilisés depuis plus de trois ans, dont un depuis 7 ans (dernière connexion datée du 16 juin 2007).

La société a précisé procéder de manière manuelle et ponctuelle à la suppression d’adresses électroniques et mots de passe associés à un compte afin de libérer l’utilisation de pseudonymes.

Par ailleurs, les CGU du site […] précisent que la fin d’un abonnement ne génère pas nécessairement la suppression du compte si le membre n’en fait pas expressément la demande et choisit de rester visiteur . Il est également indiqué que seule la suppression du compte entraîne l'effacement des données qui y sont rattachées.

Toutefois il appartient à la société, même en dehors de toute demande de la part de ses utilisateurs ou membres, de déterminer des durées de conservation des données qui soient adaptées à la finalité poursuivie par son traitement.

En second lieu, la délégation a constaté sur place que les données enregistrées dans certains cookies déposés par le site sont accessibles pendant une durée excessive par rapport aux finalités poursuivies, la durée de conservation la plus longue constatée pour un cookie à finalité publicitaire étant de 10 ans.

A cet égard, la CNIL a adopté la délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs. Cette recommandation, qui n’a pas de valeur impérative, vise à interpréter les dispositions législatives précitées et à éclairer les responsables de traitement sur la mise en place de mesures concrètes permettant de garantir le respect de ces dispositions, afin, soit qu’ils mettent en œuvre ces mesures, soit qu’ils mettent en œuvre des mesures d’effet équivalent.

Elle précise que les Cookies doivent (…) avoir une durée de vie limitée à treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur (faisant suite à l’expression du consentement) et leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site .

L’ensemble de ces faits constitue un manquement aux obligations découlant du 5° de l’article 6 de la loi du 6 janvier 1978 modifiée qui prévoit que les données à caractère personnel sont conservées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Il est en outre rappelé qu’en application des articles 226-20 et 226-24 du code pénal combinés, le fait pour une personne morale, de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d’autorisation ou d’avis, ou par la déclaration préalable adressée à la Commission nationale de l’informatique et des libertés, est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation d’informer et d’obtenir l’accord préalable des personnes concernées avant d’inscrire des informations (cookies) sur leur équipement terminal de communications électroniques ou d’accéder à celles-ci (lecture des cookies)

L’article 32-II de la loi du 6 janvier 1978 modifiée dispose que Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement;

des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur .

Les cookies nécessitant une information et un consentement préalables de l’internaute sont notamment les cookies liés aux opérations relatives à la publicité ciblée et les cookies traceurs de réseaux sociaux générés par les boutons de partage de réseaux sociaux .

Afin de proposer aux professionnels du secteur des lignes directrices en la matière, la CNIL a adopté la délibération précitée n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs.

Cette recommandation rappelle que la validité du consentement est liée à la qualité de l’information reçue . La Commission recommande donc que ce consentement soit recueilli en deux étapes :

première étape : l’internaute qui se rend sur le site d’un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau : des finalités précises des Cookies utilisés ; de la possibilité de s’opposer à ces Cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ; du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal ;

seconde étape : les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des Cookies nécessitant un recueil du consentement : pour l’ensemble des technologies visées par l’article 32-II précité ; par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d'audience .

En outre, la recommandation indique que l’information doit être visible, mise en évidence et complète .

En l’espèce, lorsque la délégation s’est connectée au site web […], elle a constaté sur place que 24 cookies ont été déposés sur son équipement terminal. Par courrier reçu par la CNIL le 22 novembre 2014, la société a indiqué que 9 de ces cookies ont une finalité publicitaire.

La délégation a également constaté que la page d’accueil du site internet n’informe pas les internautes de :

la finalité publicitaire de certains des cookies déposés ;

la possibilité de changer les paramètres des cookies et les moyens mis à sa disposition pour refuser leur dépôt ;

ce qu’une action positive de sa part, à savoir la poursuite de la navigation sur le site, est requise pour exprimer son accord au dépôt des cookies.

Par ailleurs, la délégation a constaté en ligne que le dépôt de cookies dans l’équipement terminal de communications électroniques de l’internaute s’opère dès la connexion au site internet, avant toute action de la part de l’internaute tendant à poursuivre sa navigation sur le site.

Au regard de ce qui précède, il apparaît que le site internet n’a pas informé les personnes concernées et n’a pas recueilli leur consentement avant de procéder au dépôt des cookies.

L’ensemble de ces faits constitue un manquement au II de l’article 32 précité de la loi du 6 janvier 1978 modifiée, qui soumet notamment à information et à accord préalables de l’internaute le dépôt de tels cookies.

En outre, il est rappelé qu’en application des articles 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas informer les personnes concernées et obtenir leur accord avant d’accéder à ou d’inscrire des informations dans leur équipement terminal de communications électroniques est puni d’une peine d’amende pouvant atteindre 7.500 €.

Un manquement à l’obligation de définir une finalité déterminée, explicite et légitime du traitement

Dans le courriel reçu le 24 novembre 2014, la société a indiqué s’agissant de la finalité du cookie PID déposé par le site twitter.com qu’elle n’autorisait pas la connexion à son site […] via twitter et ne faisait pas de publicité pour cette plateforme.

Dès lors, le dépôt de ce cookie apparait comme étant dépourvu de finalité et doit être supprimé.

Ces faits constituent un manquement aux obligations du 2 de l’article 6 de la loi du 6 janvier 1978 modifiée aux termes duquel les données doivent être collectées pour des finalités déterminées, explicites et légitimes.

Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données

(…)

Eu égard notamment à la sensibilité des données traitées, ces faits constituent un manquement à l’article 34 de la loi n° 78-17 du 6 janvier 1978 disposant que Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

Il est en outre rappelé qu’en application des articles 226-17 et 226-24 du code pénal combinés, le fait pour une personne morale de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données gérées par un sous-traitant

Le contrat conclu entre la société X et (…) ne prévoit pas de clause relative aux obligations du sous-traitant en matière de protection de la sécurité et de la confidentialité des données.

Ces faits constituent un manquement aux dispositions de l’article 35 de la loi n° 78-17 du 6 janvier 1978 qui dispose notamment que Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement .

Un manquement à l’obligation de respecter le droit d’accès

Les CGU prévoient, en leur article 5 intitulé confidentialité , que les utilisateurs disposent d'un droit d'accès, de rectification et de suppression des données qui les concernent conformément à l'article 34 de la loi relative à l'informatique, aux fichiers et libertés .

Outre le fait que cet extrait vise un mauvais fondement juridique (l’article 34 de la loi du 6 janvier 1978 modifiée est relatif à la confidentialité et la sécurité des données), la délégation a été informée, lors du contrôle sur place, que si la société n’avait jamais été saisie d’une demande de droit d’accès, elle inviterait, le cas échéant, la personne concernée à saisir les forces de police s’estimant dans l’incapacité de vérifier l’identité du demandeur.

Or, l’identité du demandeur peut être vérifiée en l’interrogeant sur les données obligatoirement renseignées lors de la création de son compte, par la présentation d’une copie de pièce d’identité ou de tout justificatif comportant, par exemple, une photographie permettant de s’assurer, de manière certaine, de son identité.

Ces faits constitue un manquement aux obligations découlant du 4° du I de l’article 39 de la loi du 6 janvier 1978 modifiée, qui dispose que toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir la communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci. (…) Une copie des données à caractère personnel est délivrée à l’intéressé à sa demande.

De plus, l’alinéa 1er de l’article 98 du décret du 20 octobre 2005 modifié dispose que La demande d’accès peut être effectuée par écrit et l’alinéa 1er de l’article 94 du décret précité mentionne que Le responsable du traitement répond à la demande présentée par l’intéressé dans le délai de deux mois suivant sa réception .

Il est rappelé qu’en application des articles 131-41 et R. 625-11 du code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas communiquer à la personne, sous une sous forme accessible, dans les conditions prévues à l’article 39 de la loi du 6 janvier 1978 modifiée, des données à caractère personnel qui la concernent est puni d’une peine d’amende pouvant atteindre 7 500 euros.

En conséquence, la société X, sise […], est mise en demeure, sous un délai de trois (3) mois à compter de la notification de la présente décision, et sous réserve des mesures qu’elle aurait déjà pu adopter, de :

procéder à l’accomplissement des formalités préalables applicables aux traitements mis en œuvre, en particulier procéder à une demande d’autorisation en ce qui concerne les traitements de données susceptibles d’exclure des personnes et modifier la déclaration normale n°1280693 afin d’indiquer l’intégralité des données collectées dans le cadre du traitement ;

recueillir le consentement des personnes à la collecte et au traitement de leurs données sensibles - en l’espèce des données relatives aux origines ethniques, à la vie sexuelle des personnes et à leur orientation religieuse - par tout procédé, tel qu’une case à cocher, apposé à l’endroit de la collecte ;

procéder à l’information des utilisateurs du site, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée, directement sur les formulaires de collecte des données, des traitements de leurs données à caractère personnel ;

ne pas collecter de données inadéquates, non pertinentes ou excessives au regard de la finalité du traitement, en particulier, (…) et cesser de collecter les données relatives à la carte bancaire des personnes, (…) aux fins d’authentification des personnes ;

mettre en œuvre une politique de durée de conservation des données relatives aux utilisateurs qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées, et notamment :

en fonction des durées de conservation fixées, procéder à la purge des données relatives aux comptes désinscrits et inutilisés ou procéder à leur archivage intermédiaire, et ce pendant la durée nécessaire aux finalités pour lesquelles elles sont collectées et après avoir opéré un tri des données pertinentes à archiver ;

en matière de cookies, ne pas déposer de cookies dont la durée de validité est supérieure à treize mois après leur dépôt sur l’équipement terminal de la personne concernée ;

informer et obtenir l’accord préalable des personnes concernées à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci. A cet égard, il appartient à la société, sauf à mettre en place un dispositif présentant les mêmes garanties :d’indiquer aux personnes concernées, au préalable et de manière claire et complète, sur le bandeau présent sur le site internet :

les finalités de tous les cookies soumis au consentement ;

que la personne concernée a la possibilité de changer les paramètres de ces cookies en cliquant sur un lien présent dans le bandeau. Ce bandeau doit renvoyer à une page présentant les solutions adéquates mises à la disposition des personnes concernées pour accepter ou refuser les cookies ;

que la poursuite de la navigation vaut consentement au dépôt des cookies ;

de conditionner cette inscription et cet accès à une action positive préalable des personnes concernées ;

identifier la finalité de chacun des cookies, ou, à défaut, ne plus procéder à leur dépôt sur l’équipement terminal de la personne concernée ;

adopter les mesures visant à assurer la sécurité et la confidentialité des données, notamment en :

prévoir au sein de tous les contrats liant la société X aux sociétés prestataires de services, en particulier la société (…), des clauses permettant de définir les obligations incombant aux prestataires en matière de protection de la sécurité et de la confidentialité des données des clients de la société X et préciser que les prestataires ne peuvent agir que sur instruction du responsable du traitement, conformément aux dispositions de l’article 35 de la loi du 6 janvier 1978 modifiée.

respecter le droit d’accès des personnes et mettre en place une procédure de gestion de ces demandes afin de rendre leur traitement effectif ;

justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l’issue de ce délai, si la société X s’est conformée à la présente mise en demeure, il sera considéré que la procédure est close et un courrier lui sera adressé en ce sens.

À l’inverse, si la société X ne s’est pas conformée à la présente mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de la Commission de prononcer l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée.