La Présidente de la Commission nationale de l’informatique et des libertés ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code pénal ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 45 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;
Vu la décision n° 2015-255C du 7 mai 2015 de la Présidente de la Commission nationale de l’informatique et des libertés de procéder à une mission de vérification relative à tout traitement de données personnelles mis en œuvre dans le cadre de la gestion et de l’exploitation du site internet YY et des applications correspondantes ;
Vu la décision n° 2015-253C du 1er juin 2015 de la Présidente de la Commission nationale de l’informatique et des libertés de procéder à une mission de vérification relative aux traitements mis en œuvre par la société X et notamment ceux liés à la gestion et à l’exploitation du site internet ZZ et aux éventuelles applications mobiles associées ;
Vu les procès-verbaux de contrôle sur place n° 2015-255 du 26 mai 2015, n° 2015-253 du 9 juin 2015 et n° 2015-253-2 du 10 juin 2015.
Constate les faits suivants
La société à responsabilité limitée X (ci-après la société), sise […], a pour activité principale la mise en ligne et la gestion de réseaux sociaux et de rencontre et notamment des sites YY et ZZ. Elle se compose de deux co-gérants, deux salariés et d’un stagiaire. Selon les informations délivrées par la société, elle a dégagé un chiffre d’affaires d’environ (...).
En application des décisions n° 2015-255C du 7 mai 2015 et n° 2015-253C du 1er juin 2015 de la Présidente de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission), des délégations de la CNIL ont procédé à des missions de contrôle sur place les 26 mai 2015 puis les 9 et 10 juin 2015 auprès de la société X (ci-après la société). Les délégations se sont attachées à examiner la conformité des traitements de données à caractère personnel mis en œuvre par la société, ou pour son compte, aux dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée, et en particulier ceux relatifs à la gestion et à l’exploitation des sites web YY et ZZ.
La société, créée en 2002, édite le réseau social YY depuis 1999 à destination principalement de la communauté juive. Ce réseau social a pour finalités la mise en relation des membres, les échanges sur des forums de discussion et le partage de contenus (petites annonces, recettes de cuisines, adresses de restaurant, etc.). L’inscription sur le site est gratuite. Il est également possible de souscrire un abonnement de 1, 3, 6 ou 12 mois (paiement en une seule transaction) afin de bénéficier du service VIP permettant aux membres d’accéder à des fonctionnalités plus étendues (par exemple, réception de plus de messages, possibilité d’être informé lors de la consultation du profil).
La société a créé par ailleurs, en 2004, le site ZZ qu’elle édite et dont elle assure l’exploitation et la maintenance. Il s’agit d’un site de rencontre destiné principalement à la communauté juive française. L’inscription sur le site est gratuite. Il est également possible de souscrire un abonnement de 1, 3, 6 ou 12 mois (paiement en une seule transaction) afin de bénéficier de services supplémentaires, notamment la possibilité d’échanger des messages avec les autres membres. Les revenus générés par ce site sont essentiellement basés sur les abonnements payant et l’affichage de bandeaux publicitaires.
La société a pris, auprès de la CNIL, un engagement de conformité à la norme simplifiée n° 48 relative à la gestion des clients et des prospects par déclaration n° 1802597 du 15 octobre 2014.
Concernant le site YY
La délégation a constaté que la société recueille auprès de ses membres, dont des mineurs, des données sensibles relatives à leur opinion religieuse, en l’absence de consentement des personnes concernées.
Il a été relevé également que la société ne recueillait pas le consentement des membres VIP du site dont des extraits de profils sont publiés sur la page d’accueil, laquelle est accessible à tout internaute non membre.
La délégation a constaté que le nombre de comptes actifs est de (...). Elle a également constaté que (...) comptes ayant été supprimés par les membres ou ayant fait l’objet d’une action de modération depuis 2003, sont conservés dans la base de données de production dans des tables dénommées archives. Enfin, au cours des 3 dernières années, elle a constaté que (...) membres ne se sont pas connectés à leur compte.
Concernant le site ZZ
La délégation a constaté que le nombre de comptes au sein de la table membres de la base de données active est de (...), ce qui peut inclure des comptes inactifs depuis moins de 2 ans. Elle a également constaté que (...) comptes ayant été supprimés par les membres ou ayant fait l’objet d’une action de modération depuis 2006, sont conservés dans la base de données de production dans des tables dénommées membres_sauv . Enfin, elle a constaté que (...) comptes supprimés sont conservés dans la table membres_sauv de la base de données active.
Concernant les sites YY et ZZ
La délégation a été informée que la société effectue une modération des profils des membres et procède, le cas échéant, à l’exclusion des personnes ne respectant pas les conditions d’utilisation des deux sites web.
Elle a par ailleurs effectué des constatations en lien avec le traitement des données bancaires concernant les deux sites web.
Il a été constaté enfin le dépôt de cookies dès l’arrivée sur la page d’accueil des 2 sites web. Pour le site YY, la délégation a constaté l’absence de délivrance d’information à l’internaute sur la page d’accueil. Concernant le site ZZ, elle a constaté la présence d’un bandeau d’information indiquant : ZZ utilise des cookies pour vous offrir le meilleur service possible. En continuant votre navigation, vous en acceptez l’utilisation. La délégation a constaté l’absence de lien hypertexte dans le bandeau d’information permettant d’accéder aux moyens d’opposition au dépôt de cookies.
Sur les manquements constatés au regard des dispositions de la loi du 6 janvier 1978 modifiée
Un manquement à l’obligation d’accomplir les formalités préalables à la mise en œuvre du traitement
La délégation a constaté que, dans le cadre de la modération, la société met en œuvre un traitement automatisé de données à caractère personnel permettant d’exclure des sites les personnes n’en ayant pas respecté les conditions d’utilisation.
Concernant le site YY, les personnes intégrant cette liste d’exclusion, de manière temporaire ou permanente, peuvent être celles ayant adopté un comportement inapproprié ou se livrant à de la fraude à la carte de paiement.
Concernant le site ZZ, les membres ne respectant pas les Conditions Générales d’Utilisation du site (ci-après les CGU) peuvent recevoir un avertissement, leur compte peut également être désactivé ou supprimé par la modération. Dans les cas les plus graves, l’adresse électronique et/ou l’adresse IP peuvent être bloquées. En l’espèce, (...) adresses électroniques et IP confondues sont bloquées. Celles-ci ont intégré une liste d’exclusion prévue à cet effet.
Il apparaît que ces traitements automatisés sont susceptibles d’exclure des personnes du bénéfice d’un contrat ou d’une prestation. Ils relèvent donc du régime de l’autorisation en matière de formalités préalables auprès de la CNIL.
Or, la société n’a procédé à aucune demande d’autorisation concernant de tels traitements.
Ces faits constituent un manquement aux dispositions du 4° de l’article 25-I de la loi du 6 janvier 1978 modifiée qui dispose que, sont mis en œuvre après autorisation de la CNIL, Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire.
Il est rappelé qu’en application des articles 226-16 alinéa 1er et 226-24 du code pénal combinés, le fait pour une personne morale, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni d’une peine d’amende pouvant atteindre 1.500.000 €.
Un manquement à l’obligation d’effectuer un traitement loyal des données
La délégation a constaté que la société diffuse, sur la page d’accueil du site web YY, accessible aux non-membres, des informations relatives au Profil vedette (photographie, pseudo, âge, ville et pays). Elle a été informée qu’il s’agit d’extraits de profils de membres VIP qui figurent sur la page d’accueil de manière aléatoire.
Or, si la société informe les membres dans ses Conditions d’utilisation que leur photo peut être publiée lorsqu’elle est prise à l’occasion de soirées organisées par le site, elle n’informe pas les membres VIP de ce qu’un extrait de leur profil, comprenant notamment leur photo, est susceptible de figurer sur la page d’accueil du site qui est accessible aux non-membres. Le défaut d’information de ces personnes constitue un traitement déloyal de leurs données à caractère personnel, et notamment de leur photo.
Ces faits constituent un manquement aux obligations découlant du 1° de l’article 6 de la loi n° 78-17 du 6 janvier 1978 qui dispose que les données à caractère personnel sont collectées et traitées de manière loyale et licite.
Il est en outre rappelé qu’en application des articles 226-18 et 226-24 du code pénal combinés, le fait pour une personne morale, de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite, est puni d’une peine d’amende pouvant atteindre 1.500.000 €.
Un manquement à l’obligation de recueillir le consentement de la personne concernée pour le traitement de données sensibles
Concernant le site ZZ , il permet aux membres de renseigner des données sensibles dans une rubrique spécifique qui se décline en 8 sous-catégories : origine de mon père et origine de ma mère comprenant les cases polonais , marocain , autre sépharade , falacha , russe , tunisien , israélien , non juif , autre ashkénaze , algérien , mi-ashk mi-séph , converti . Parmi les autres sous-catégories, sont listées mon éducation juive, ma cacherout à la maison, ma cacherout à l’extérieur, je fais shabbath, je fais les fêtes juives, je vais à la synagogue.
Concernant le site YY, il permet aux membres de renseigner des données sensibles relatives à leur identité religieuse , ce qui inclut des informations relatives à leur niveau de pratique religieuse , la cacherout , la pratique du shabbat , les fêtes et leurs origines , à savoir sepharade , ashkenaze , mi-sepharade mi-ashkenaze , falacha , non juif , autre origine.
La délégation a constaté en outre que l’âge minimum pour s’inscrire sur le site YY est de 7 ans. Il a été constaté que la base de données contient les données de (...) mineurs, dont (...) mineurs entre 7 et 14 ans.
La société n’est pas en mesure de recueillir le consentement auprès du tuteur légal des mineurs s’agissant du site YY. Elle a précisé, de plus, ne pas opérer de contrôle supplémentaire à l’égard des inscriptions des mineurs.
L’article 8 de la loi du 6 janvier 1978 modifiée prévoit notamment qu’il est interdit de collecter ou de traiter des données à caractère personnel qui sont relatives aux opinions religieuses des personnes, sauf dans les cas prévus au II de cet article, notamment en cas de consentement exprès des personnes concernées.
Or, le consentement ne peut être exprès que s’il est donné en toute connaissance de cause c’est-à-dire après la délivrance d’une information adéquate sur l’usage qui sera fait des données personnelles.
En l’espèce, aucun moyen technique à l’endroit de la collecte n’est mis à la disposition de la personne auprès de laquelle les données sensibles sont collectées et traitées afin de s’assurer qu’elle y consent de manière expresse sur la base d’une information spécifique.
La Commission considère que le fait, pour la personne concernée, de renseigner ses données sensibles, ne saurait être considéré comme un consentement exprès. En effet, l’utilisateur doit pouvoir marquer son assentiment en cochant une case dédiée à l’approbation de l’usage de ses données personnelles sensibles auquel il consent, ce qui n’est pas le cas en l’espèce.
A cet égard, l’avis 5/2009 du G29 sur les réseaux sociaux en ligne adopté le 12 juin 2009 recommande qu’il y ait un traitement équitable et légal des mineurs, par exemple : ne pas demander de données sensibles dans le formulaire d’abonnement, pas de prospection directe visant des mineurs, l’accord préalable des parents avant l’inscription ainsi que des niveaux adaptés permettant de séparer les communautés d’enfants et d’adultes.
Ces faits constituent un manquement à l’article 8 de la loi du 6 janvier 1978 modifiée susmentionné.
Il est rappelé enfin qu’en application des articles 226-19 et 226-24 du code pénal combinés, le fait pour une personne morale, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle de celles-ci, est puni d’une peine d’amende pouvant atteindre 1.500.000 €.
Un manquement à l’obligation d’informer les personnes
La délégation a constaté que les formulaires d’inscription aux sites YY et ZZ et les pages permettant à l’utilisateur de compléter son profil imposent à l’internaute de renseigner des données à caractère personnel.
Or, si un lien sur le formulaire d’inscription renvoie vers les Conditions d’utilisation dénommées Règlement du site web YY, et vers les CGU et la Politique sur la vie privée du site web ZZ, aucune mention d’information relative à l’article 32 de la loi du 6 janvier 1978 modifiée ne figure directement sur celui-ci.
Ces faits constituent un manquement à l’article 32-I de la loi n° 78-17 du 6 janvier 1978 modifiée qui dispose que :
I. La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant :
1° De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
2° De la finalité poursuivie par le traitement auquel les données sont destinées ;
3° Du caractère obligatoire ou facultatif des réponses ;
4° Des conséquences éventuelles, à son égard, d’un défaut de réponse ;
5° Des destinataires ou catégories de destinataires des données ;
6° Des droits qu’elle tient des dispositions de la section 2 du présent chapitre ;
7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne.
Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.
Il est également rappelé qu’en application des articles 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas informer, dans les conditions prévues à l’article 32 de la loi du 6 janvier 1978 modifiée, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est puni d’une peine d’amende pouvant atteindre 7.500 €.
Un manquement à l’obligation de définir et respecter une durée de conservation des données proportionnée à la finalité du traitement
En premier lieu, la société a procédé à un engagement de conformité à la norme simplifiée n° 48 relative à la gestion des clients et prospects par déclaration n° 1802597 du 14 octobre 2014. Cette norme prévoit que, sauf exceptions, les données à caractère personnel relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale.
Or, s’agissant du site YY, la délégation a été informée qu’aucune suppression des comptes n’était mise en œuvre, à l’exception des comptes n’ayant pas été confirmés par l’utilisateur après 10 jours.
Ainsi, si un membre procède à sa désinscription, ses données à caractère personnel enregistrées dans les tables membres et messages ainsi que ses données relatives aux transactions bancaires sont conservées sans limite dans la base de données de production dénommée […] au sein de tables dénommées archives.
La délégation a constaté en outre que la table membres de la base de données contient (...) comptes au total, dont (...) comptes ont été désactivés par la modération et sont pourtant conservés depuis la création du site.
De plus, la délégation a constaté que (...) comptes de membres s’étant désinscrits ou ayant fait l’objet d’une action de modération depuis 2003, sont conservés dans la base de données de production au sein de tables dénommées archives. Il a été constaté que, depuis 2009, (...) comptes ont fait l’objet d’une désinscription par les membres et sont toujours conservés en base de données de production dans une table dénommée archives_2009.
S’agissant du site ZZ, la délégation a constaté que les données à caractère personnel des membres sont conservées dans la base de données de production sans limite depuis 2006, année de la refonte de l’architecture de la base de données. Elles sont enregistrées au sein des tables membres contenant (...) profils et membres_msg contenant les messages des membres.
Lorsqu’un membre se désinscrit volontairement ou fait l’objet d’une désinscription à la suite d’une action de modération, ses données à caractère personnel restent conservées dans la table membres_sauv qui compte (...) profils qui se sont ou ont été désinscrits. Ainsi aucun archivage ou suppression n’est effectué. Il en va de même s’agissant des messages des membres.
Il a été notamment constaté que la table membres_sauv conserve les profils de (...) personnes s’étant ou ayant été désinscrites il y a plus de trois ans et de (...) personnes il y a plus de cinq ans.
La délégation a été informée en outre que les adresses électroniques et les mots de passe des anciens membres stockés dans la table membres_sauv sont supprimés automatiquement après 2 ans, les autres données à caractère personnel demeurant conservées.
Il en résulte que la société n’a ni défini ni mis en œuvre de durées de conservation des données à caractère personnel qu’elle collecte, qui soient proportionnées aux finalités de la collecte et du traitement.
Pourtant, l’article 5 de la norme simplifiée n°48 prévoit en particulier que les données à caractère personnel relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale , que les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale et que les données à caractère personnel relatives à un prospect non client peuvent être conservées pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect (demande de documentation par exemple).
Par ailleurs, concernant le site YY, la délégation a constaté qu’au cours des 14 derniers mois, (...) membres, dont les comptes sont toujours présents dans la base de données de production, ne se sont pas connectés à leur compte. De la même façon, au cours des 3 dernières années, (...) membres ne se sont pas connectés à leur compte, et au cours des 5 dernières années, (...) membres ne s’y sont plus connectés.
Concernant le site ZZ, il a été précisé qu’après 2 ans d’inutilisation de son compte par un membre, la société procède au transfert de ses données à caractère personnel contenues dans les tables membres et membres_msg et les conserve ainsi dans les tables membres_sauv et membres_msg_sauv de la base de données active.
Il en résulte que les comptes inactifs et les messages associés ne font l’objet d’aucune suppression par la société en fonction d’une règle définie.
Enfin, la délégation a constaté, concernant le site YY, que la plus ancienne transaction bancaire conservée en base de données de production date du 16 juin 2003, ce qui est une durée excessive au regard de la finalité de conservation des documents comptables à des fins probatoires. En effet, l’article L. 123-22 du code de commerce dispose notamment que Les documents comptables et les pièces justificatives sont conservés pendant dix ans.
En second lieu, la délégation a constaté que les données enregistrées dans certains cookies déposés par les sites sont accessibles pendant une durée excessive par rapport aux finalités poursuivies.
Concernant le site YY, les durées de conservation les plus longues constatées pour des cookies à finalité publicitaire sont notamment de 5 ans (expiration du cookie uuid ayant pour nom de domaine agkn.com le 24 mai 2020) et de 2 ans (expiration du cookie id ayant pour nom de domaine doubleclick.net le 25 mai 2017).
Concernant le site ZZ, la délégation a constaté que certains cookies à finalité publicitaire ont une durée de vie de 2 ans, tel que le cookie id ayant pour nom de domaine doubleclick.net qui expire le 8 juin 2017.
En outre, la CNIL a adopté la délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs. Cette recommandation, qui n’a pas de valeur impérative, vise à interpréter les dispositions législatives précitées et à éclairer sur la mise en place de mesures concrètes permettant de garantir le respect de ces dispositions, afin, soit qu’ils mettent en œuvre ces mesures, soit qu’ils mettent en œuvre des mesures d’effet équivalent.
Elle précise que les Cookies doivent (...) avoir une durée de vie limitée à treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur (faisant suite à l’expression du consentement) et leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site.
L’ensemble de ces faits constitue un manquement aux obligations découlant du 5° de l’article 6 de la loi du 6 janvier 1978 modifiée qui prévoit que les données à caractère personnel sont conservées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Il est en outre rappelé qu’en application des articles 226-20 et 226-24 du code pénal combinés, le fait pour une personne morale, de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d’autorisation ou d’avis, ou par la déclaration préalable adressée à la Commission nationale de l’informatique et des libertés, est puni d’une peine d’amende pouvant atteindre 1.500.000 €.
Un manquement à l’obligation d’informer et d’obtenir l’accord préalable des personnes concernées avant d’inscrire des informations (cookies) sur leur équipement terminal de communications électroniques ou d’accéder à celles-ci (lecture des cookies)
L’article 32-II de la loi du 6 janvier 1978 modifiée dispose que Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement;
des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.
Les cookies nécessitant une information et un consentement préalables de l’internaute sont notamment les cookies liés aux opérations relatives à la publicité ciblée et les cookies traceurs de réseaux sociaux générés par les boutons de partage de réseaux sociaux.
Afin de proposer aux professionnels du secteur des lignes directrices en la matière, la CNIL a adopté la délibération précitée n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs. Cette recommandation, qui n’a pas de valeur impérative, vise à interpréter les dispositions législatives précitées et à éclairer sur la mise en place de mesures concrètes permettant de garantir le respect de ces dispositions, afin, soit qu’ils mettent en œuvre ces mesures, soit qu’ils mettent en œuvre des mesures d’effet équivalent.
Cette recommandation rappelle que la validité du consentement est liée à la qualité de l’information reçue. La Commission recommande donc que ce consentement soit recueilli en deux étapes :
première étape : l’internaute qui se rend sur le site d’un éditeur (page d’accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau : des finalités précises des Cookies utilisés ; de la possibilité de s’opposer à ces Cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ; du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal ;
seconde étape : les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des Cookies nécessitant un recueil du consentement : pour l’ensemble des technologies visées par l’article 32-II précité ; par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d’audience.
En outre, la recommandation indique que l’information doit être visible, mise en évidence et complète.
En premier lieu, lorsque la délégation s’est connectée au site web YY, elle a constaté que 17 cookies ont été déposés sur son équipement terminal. L’analyse a permis de constater que parmi ces cookies, le cookie id ayant pour nom de domaine doubleclick.net est un cookie ayant une finalité publicitaire. En outre, la délégation a été informée que tous ces cookies ont des finalités publicitaires, à l’exception du cookie PHPSESSID ayant pour nom de domaine YY et du cookie tiers idrxvr ayant pour nom de domaine xiti.com.
La délégation a également constaté l’absence de toute information relative aux cookies sur la page d’accueil du site web YY.
Dès lors, l’internaute n’est pas informé de :
la finalité publicitaire de certains des cookies déposés ;
la possibilité de changer les paramètres des cookies et les moyens mis à sa disposition pour refuser leur dépôt ;
ce qu’une action positive de sa part, à savoir la poursuite de la navigation sur le site, est requise pour exprimer son accord au dépôt des cookies.
La société a indiqué en outre à la délégation qu’aucun dispositif d’opposition ou de recueil de consentement au dépôt de cookie n’est proposé par la société aux utilisateurs du site.
Par ailleurs, la délégation a constaté que le dépôt de cookies dans l’équipement terminal de communications électroniques de l’internaute s’opère dès la connexion au site web, avant toute action de la part de l’internaute tendant à poursuivre sa navigation sur le site.
Au regard de ce qui précède, il apparaît que le site web n’a pas informé les personnes concernées et n’a pas recueilli leur consentement avant de procéder au dépôt des cookies.
En second lieu, la délégation a constaté sur le site ZZ, la présence d’un bandeau, indiquant : ZZ utilise des cookies pour vous offrir le meilleur service possible. En continuant votre navigation, vous en acceptez l’utilisation.
La délégation a constaté le dépôt de cookies à finalité publicitaire au cours de la navigation sur le site web, dont notamment les cookies dénommés id du nom de domaine doubleclick.net , uid du nom de domaine criteo.com , et test_cookie du nom de domaine doubleclick.net , ce dernier étant déposé dans l’équipement terminal de communications électroniques de l’internaute avant toute action de sa part tendant à poursuivre sa navigation sur le site.
Il en résulte que la mention d’information délivrée sur le bandeau de la page d’accueil n’est pas satisfaisante dans la mesure où la personne n’est pas informée :
des finalités publicitaires de certains des cookies déposés ;
de la possibilité de changer les paramètres des cookies en cliquant sur un lien présent dans le bandeau.
Au regard de ce qui précède, il apparaît que le site web n’a pas correctement informé les personnes concernées et n’a pas recueilli leur consentement avant de procéder au dépôt des cookies.
L’ensemble de ces faits constitue un manquement au II de l’article 32 précité de la loi du 6 janvier 1978 modifiée, qui soumet notamment à information et à accord préalables de l’internaute le dépôt de tels cookies.
Il est rappelé qu’en application des articles 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas informer les personnes concernées et obtenir leur accord avant d’accéder à ou d’inscrire des informations dans leur équipement terminal de communications électroniques est puni d’une peine d’amende pouvant atteindre 7.500 €.
Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données
(...)
Eu égard notamment à la sensibilité des données, ces faits constituent un manquement à l’article 34 de la loi n° 78-17 du 6 janvier 1978 disposant que Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Il est en outre rappelé qu’en application des articles 226-17 et 226-24 du code pénal combinés, le fait pour une personne morale de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni d’une peine d’amende pouvant atteindre 1.500.000 €.
Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données gérées par un sous-traitant
Le contrat conclu entre la société X et le prestataire d’emailing (...) ne prévoit pas de clause relative aux obligations du sous-traitant en matière de protection de la sécurité et de la confidentialité des données et précisant que le sous-traitant ne peut agir que sur instruction du responsable du traitement. De plus, le contrat avec la société (...) n’a pas été signé par cette dernière.
Ces faits constituent un manquement aux dispositions de l’article 35 de la loi n° 78-17 du 6 janvier 1978 qui dispose notamment que Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.
Un manquement à l’obligation de respecter les dispositions de l’article L. 34-5 du code des postes et des communications électroniques
La société a indiqué qu’elle pouvait être amenée à réaliser des campagnes publicitaires par envoi de courriers électroniques à destination de la communauté juive pour son propre compte ou pour le compte de clients annonceurs.
Concernant le site web YY, la délégation a constaté que la case J’autorise YY à transmettre mes informations à des tiers est précochée. La société a précisé qu’en tout état de cause, que la case demeure cochée ou qu’elle soit décochée, la société peut réaliser des campagnes de prospection par voie électronique sur l’adresse mail utilisée par les membres lors de leur inscription.
Concernant le site web YY, la délégation a constaté que la case Je ne souhaite pas recevoir les bons plans YY (promotions, soirées, voyages célibataires...) n’est pas précochée (opt-out). Toutefois, il a été précisé que cette case offre la possibilité de recevoir, par courriel, de la publicité de la société mais également de ses partenaires (annonceurs).
D’une part, en adressant dans tous les cas des mails de prospection à ses membres, indépendamment de la prise en compte du caractère coché ou non de la case, la société ne procède pas au recueil du consentement des membres à la prospection électronique (opt-in).
D’autre part, il y a lieu de relever que si le consentement de la personne était respecté, la formulation employée devant la case aurait en tout état de cause pour effet de rendre incomplète l’information de la personne quant à la portée de son consentement, celle-ci ne sachant pas spécifiquement pour quelles finalités elle accepte de transmettre ses informations, ni quelles sont les catégories de personnes auxquelles ses informations sont transmises.
Il en résulte que la personne concernée par la collecte de données à caractère personnel n’est pas en mesure de manifester une volonté libre, spécifique et informée, au sens des dispositions de l’article L. 34-5 du code des postes et des communications électroniques.
Dès lors, ces faits constituent un manquement aux obligations découlant de l’article L. 34-5 du code des postes et des communications électroniques qui dispose qu’ est interdite la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen.
Il est rappelé qu’en application des articles 121-2, 131-13, 131-41 du code pénal et de l’article R. 10-1 du code des postes et communications électroniques, la commission de tels faits par une personne morale est susceptible d’être punie d’une peine d’amende pouvant atteindre 3.750 euros, et ce, pour chaque communication.
En conséquence, la société X, […], est mise en demeure, sous un délai de trois (3) mois, à compter de la notification de la présente décision, et sous réserve des mesures qu’elle aurait déjà pu adopter, pour l’ensemble de ses sites web, de :
procéder à l’accomplissement des formalités préalables applicables aux traitements mis en œuvre, en particulier procéder à une demande d’autorisation en ce qui concerne les traitements de données susceptibles d’exclure des personnes ;
procéder à un traitement loyal des données personnelles, notamment en informant les membres du site web, en particulier les membres VIP , de ce que leur profil, comprenant notamment leur photo, est susceptible de figurer sur la page d’accueil du site web accessible aux non-membres et les informer de leurs droits d’opposition au traitement de ces données ; à défaut, rendre ces données inaccessibles aux non-membres ;
recueillir le consentement exprès des personnes, sur la base d’une information spécifique, à la collecte et au traitement de leurs données sensibles - aux fins d’accès au service et aux fins de prospection commerciale - par tout procédé, tel qu’une case à cocher, apposé à l’endroit de la collecte ;
procéder à l’information des utilisateurs du site, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée, directement sur les formulaires de collecte des données, des traitements de leurs données à caractère personnel ;
définir et mettre en œuvre une politique de durée de conservation des données relatives aux utilisateurs qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées, et notamment :
respecter la durée de conservation des données à caractère personnel, telle qu’indiqué dans l’engagement de conformité à la norme simplifiée n° 48 relative à la gestion des clients et des prospects, en particulier conserver les données des clients uniquement pendant la durée de la relation commerciale, en dehors des prescriptions légales applicables ; à défaut procéder à la modification de cette déclaration et justifier de la durée de conservation choisie ;
procéder à la purge des données relatives aux comptes ayant été supprimés (comptes dont les utilisateurs se sont désinscrits) et aux comptes inactifs (suspension volontaire du compte incluse) depuis un certain délai, 2 ans par exemple ;
définir et mettre en œuvre une politique d’archivage intermédiaire des données des membres qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées, en particulier s’agissant des finalités probatoires, et prévoir à cet effet une base de données d’archives dédiée ou une séparation logique dans la base de données active, après avoir opéré un tri des données pertinentes à archiver ; procéder à la purge des données des profils archivés qui ne sont pas nécessaires à l’établissement de la preuve d’un droit ou d’un contrat ou au respect d’une obligation légale ;
le cas échéant, pour les traitements ayant pour finalité l’élaboration de statistiques, veiller à l’anonymisation irréversible en procédant à la purge de toutes données à caractère personnel, y compris les données indirectement identifiantes ;
en matière de données relatives aux transactions bancaires, procéder à la purge de ces données à l’issue de l’expiration du délai de 10 ans, conformément aux dispositions des textes applicables en matière de conservation des données comptables ;
en matière de cookies, ne pas déposer de cookies dont la durée de validité est supérieure à treize mois après leur dépôt sur l’équipement terminal de la personne concernée.
informer et obtenir l’accord préalable des personnes concernées à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci (lecture des cookies). A cet égard, il appartient à la société, sauf à mettre en place un dispositif présentant les mêmes garanties :
d’indiquer aux personnes concernées, au préalable et de manière claire et complète, sur le bandeau présent sur le site internet :
les finalités de tous les cookies soumis au consentement (pour les 2 sites web) ;
que la personne concernée a la possibilité de changer les paramètres de ces cookies en cliquant sur un lien présent dans le bandeau. Ce bandeau doit renvoyer vers une page présentant les solutions adéquates mises à la disposition des personnes concernées pour accepter ou refuser le dépôt des cookies (pour les 2 sites web) ;
que la poursuite de la navigation vaut consentement au dépôt des cookies ;
de conditionner cette inscription et cet accès à une action positive préalable des personnes concernées (pour les 2 sites web) ;
prendre toute mesure de sécurité, pour l’ensemble des traitements de données à caractère personnel qu’elle met en œuvre, permettant de préserver la sécurité de ces données et d’empêcher que des tiers non autorisés y aient accès,
(...)
prévoir au sein de tous les contrats liant la société X aux sociétés prestataires de services, en particulier la société (...), des clauses permettant de définir les obligations incombant aux prestataires en matière de protection de la sécurité et de la confidentialité des données des clients de la société X et préciser que les prestataires ne peuvent agir que sur instruction du responsable du traitement, conformément aux dispositions de l’article 35 de la loi du 6 janvier 1978 modifiée ;
ne pas traiter les données à des fins de prospection directe électronique, sans avoir au préalable recueilli le consentement libre, spécifique et informé des personnes concernées, notamment en précisant les finalités de la transmission des données ainsi que les catégories de personnes auxquelles les données sont transmises, et en cessant de prospecter les personnes qui n’ont pas coché la case par laquelle elles consentent à la prospection commerciale par voie électronique ;
justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté pour l’ensemble de ses sites web, et ce dans le délai imparti.
À l’issue de ce délai, si la société X s’est conformée à la présente mise en demeure, il sera considéré que la procédure est close et un courrier lui sera adressé en ce sens.
À l’inverse, s’il est constaté que la société X ne s’est pas conformée à la présente mise en demeure, un rapporteur pourra être désigné et demander à la formation restreinte de la Commission de prononcer l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée.