Livv
Décisions

CNIL, 13 octobre 2014, n° 2014-053

CNIL

Décision

COMPOSITION DE LA JURIDICTION

Présidente :

Mme Falque-Pierrotin

CNIL n° 2014-053

12 octobre 2014

La Présidente de la Commission nationale de l'informatique et des libertés ;


Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu l'article L. 34-5 du code des postes et des communications électroniques ;

Vu le code pénal ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 45 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78 17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n° 2014-058C du 24 février 2014 de la Présidente de la Commission nationale de l'informatique et des libertés de procéder à une mission de contrôle auprès de la société X ;

Vu le procès-verbal de contrôle n° 2014-058/1 du 6 mars 2014 ;

Constate les faits suivants :

La société X (ci-après la société ) a pour activité l'édition et la commercialisation de magazines périodiques et des sites internet de ces magazines (dont les marques [...]). Elle a réalisé en 2012 un chiffre d'affaires d'environ 450 millions d'euros. Son siège social est situé au [...].

La procédure de mise en demeure du 19 juillet 2012

Le 19 juillet 2012, la Présidente de la Commission nationale de l'informatique et des libertés (ci-après CNIL ou la Commission ) a mis en demeure la société X, dans un délai de deux mois, de se mettre en conformité avec ses obligations légales, notamment concernant les traitements de données relatives aux prospects.

En l'espèce, il a notamment été enjoint à la société de :

- recueillir le consentement libre, spécifique et informé des personnes concernées au traitement de leurs données à caractère personnel à des fins de prospection commerciale par voie électronique ;

- faire droit aux demandes d'opposition des personnes concernées en leur permettant de se désinscrire en une seule fois de toutes les sollicitations de la société et en supprimant leurs données.

Par ailleurs, la mise en demeure a également traité de problématiques liées aux durées de conservation des données, à la sécurité et la confidentialité des données, ainsi qu'aux obligations des sous-traitants de la société.

Par courrier du 12 septembre 2012, la société a informé la Commission de la mise en œuvre de différentes mesures de mise en conformité. Elle a notamment indiqué avoir mis en place un mécanisme de recueil du consentement des personnes concernées, ainsi qu'une procédure permettant de faire droit aux demandes d'opposition de ces dernières.

Au regard des éléments fournis par la société, la Présidente de la Commission a pris la décision de clore la procédure de mise en demeure par courrier du 24 janvier 2013.

Le contrôle opéré au sein de la société le 6 mars 2014

En application de la décision n° 2014-058C du 24 février 2014 de la Présidente de la Commission, une délégation de la CNIL a procédé à une mission de contrôle sur place le 6 mars 2014 auprès du siège de la société X.

La délégation a constaté que, sur le site internet de chaque marque, un internaute a la possibilité de remplir un formulaire pour recevoir par courriel la lettre d'information du site. Il peut également accepter de recevoir l'ensemble des lettres d'information des autres marques, ainsi que les offres et bons plans des partenaires. Il ne peut cependant pas choisir les lettres d'information auxquelles il souscrit.

La délégation a également constaté que les formulaires d'inscription aux lettres d'information de certaines marques n'informent pas, ou que partiellement, les personnes concernées quant aux traitements de données à caractère personnel mis en place.

En outre, la délégation a été informée que la société conserve les données relatives aux personnes ayant consenti à recevoir lesdites lettres d'information pendant deux ans à compter de la dernière activité détectée (ouverture de courriel ou clic sur un lien proposé dans le courriel). La société a également précisé conserver des données de fréquentation brutes remontant à environ une année sur un serveur précédemment utilisé.

De même, la délégation a été informée que les courriels envoyés comportent un onglet Gérer mes abonnements , qui renvoie sur une page de désinscription à la lettre d'information reçue. Cet onglet contient un autre bouton Gérer mes abonnements renvoyant vers une page permettant le désabonnement de toutes les lettres d'information.

Par ailleurs, la délégation a constaté l'absence d'effectivité de la procédure de renouvellement automatique des mots de passe des utilisateurs du back office et l'absence de recours systématique à un protocole sécurisé d'échanges de données.

Enfin, la société n'a pas prévu de clause relative à la confidentialité des données à caractère personnel dans tous les contrats conclus avec ses prestataires.

Sur la qualification de ces faits au regard de la loi du 6 janvier 1978 modifiée

Un manquement à l'obligation de respecter les dispositions de l'article L. 34-5 du code des postes et des communications électroniques

Les formulaires, qui permettent à un internaute de s'inscrire aux lettres d'information du site sur lequel il se trouve, lui donnent également la possibilité d'accepter, par des cases à cocher, de recevoir les lettres d'information des autres sites de la société et/ou les offres et bons plans des partenaires.

La délégation a constaté que les formulaires proposés sur les sites de certaines marques ne listent pas les lettres d'information auxquelles la personne s'inscrit en cochant la case. En effet, les formulaires en question comportent uniquement la mention suivante : oui, je souhaite recevoir les newsletters du groupe X.

Il y a lieu de relever que cette formulation a pour effet de rendre incomplète l'information de la personne quant à la portée de son consentement, celle-ci ne sachant pas spécifiquement à combien et à quelles lettres d'information elle s'inscrit.

Il en résulte que la personne concernée par la collecte de données à caractère personnel n'est pas en mesure de manifester une volonté libre, spécifique et informée, au sens des dispositions de l'article L. 34-5 du code des postes et des communications électroniques.

Dès lors, ces faits constituent un manquement aux obligations découlant de l'article L. 34-5 du code des postes et des communications électroniques qui dispose qu' est interdite la prospection directe au moyen d'un automate d'appel, d'un télécopieur ou d'un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d'une personne physique qui n'a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen .

Il est rappelé qu'en application des articles 121-2, 131-13, 131-41 du code pénal et de l'article R. 10-1 du code des postes et communications électroniques, la commission de tels faits par une personne morale est susceptible d'être punie d'une peine d'amende pouvant atteindre 3 750 euros, et ce, pour chaque communication.

Un manquement à l'obligation de définir et de respecter une durée de conservation proportionnée à la finalité du traitement

S'agissant de la durée de conservation des données relatives aux prospects

La société a indiqué que les données relatives aux personnes ayant consenti à recevoir des courriels ou des lettres d'information sont purgées par déclenchement manuel d'un script SQL et que la fréquence de ces purges manuelles dépend notamment des contraintes liées au volume des données présentes en base. La délégation a constaté que ce script prévoit une anonymisation des données au bout de 760 jours d'inactivité (soit 2 ans et 30 jours).

La délégation a été informée que le point de départ de la durée de conservation est l'ouverture d'un courriel ou le clic sur un lien proposé dans un courriel.

Or, la norme simplifiée n° 48 concernant les traitements de données à caractère personnel relatifs à la gestion de clients et de prospects, à laquelle la société a souscrit un engagement de conformité le 23 juillet 2011, dispose que Les données à caractère personnel relatives à un prospect non client peuvent être conservées pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect (demande de documentation par exemple) .

L'ouverture d'un courriel ou le clic sur un lien proposé dans un courriel par le prospect n'est pas de nature à constituer un contact au sens de la norme simplifiée n° 48, qui suppose une interaction avec la société. La société conserve donc les données relatives aux prospects de façon excessive.

S'agissant de la durée de conservation des données relatives à la fréquentation

La délégation a été informée que la durée de conservation fixée pour les données de fréquentation est de six mois et que le traitement de purge de ces données est effectué manuellement.

Pour autant, elle a été informée que des données de fréquentation remontant à environ une année sont stockées sur un serveur précédemment utilisé par la société et incompatible avec le format de fichier utilisé actuellement par la société.

Or, la norme simplifiée n° 48 dispose que les données de fréquentation brutes associant un identifiant ne doivent pas être conservées plus de six mois. De plus, le courrier du 24 janvier 2013 appelait déjà l'attention de la société sur la nécessité de se conformer à cette norme pour les données de fréquentation.

Ces faits sont de nature à constituer un manquement aux dispositions de l'article 6 de la loi n° 78-17 du 6 janvier 1978 qui prévoit qu' Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : (...) 5° Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées .

Il est par ailleurs rappelé qu'en application des articles 121-2, 131-37, 131-38 et 226-20 du code pénal combinés, le fait pour une personne morale de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à la Commission nationale de l'informatique et des libertés, est puni d'une amende pouvant atteindre 1 500 000 euros.

Un manquement à l'obligation d'informer les personnes

L'article 32-I de la loi n° 78-17 du 6 janvier 1978 prévoit que La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant :

1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Du caractère obligatoire ou facultatif des réponses ;

4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;

5° Des destinataires ou catégories de destinataires des données ;

6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre (droits des personnes à l'égard des traitements de données) ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un État non membre de la Communauté européenne.

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6° .

Or, la délégation a constaté que les formulaires d'inscription aux lettres d'information ne comportent soit aucune mention d'information quant à la mise en œuvre du traitement de données à caractère personnel, soit une mention partielle.

Ces faits constituent un manquement à l'article 32 de la loi n° 78-17 du 6 janvier 1978 modifiée quant à l'obligation pour le responsable du traitement de fournir à la personne concernée, directement sur le formulaire de collecte des données, des informations sur l'identité du responsable du traitement, la finalité de ce traitement, le caractère obligatoire ou facultatif des réponses, leurs droits d'accès, de rectification et, le cas échéant, d'opposition aux données les concernant.

Il est également rappelé qu'en application des articles 121-2, 131-13, 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d'un traitement de ne pas informer, dans les conditions prévues à l'article 32 de la loi du 6 janvier 1978 modifiée, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est puni d'une peine d'amende pouvant atteindre 7 500 euros.

Un manquement à l'obligation d'assurer la sécurité et la confidentialité des données

La délégation a constaté le dysfonctionnement du renouvellement automatique des mots de passe des utilisateurs du back office.

En outre, la délégation a été informée que des comptes individuels utilisant le protocole FTPS sont définis pour le dépôt de fichiers par les clients et collaborateurs de la société. Mais elle a constaté que la possibilité d'utiliser le protocole FTP non sécurisé est toujours offerte aux clients et aux collaborateurs qui le souhaitent, ce qui rend caduque la mesure de sécurité.

L'ensemble de ces faits constituent un manquement à l'article 34 de la loi n° 78-17 du 6 janvier 1978 modifiée disposant que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

Il est rappelé qu'en application des articles 121-2, 131-37, 131-38 et 226-17 du code pénal combinés, le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 modifiée précitée est puni de 1 500 000 euros d'amende.

Un manquement à l'obligation d'assurer la confidentialité des données gérées par un sous-traitant

La société a conclu avec la société Y un contrat de prestation de service informatique, qui inclut notamment une prestation d'hébergement des données à caractère personnel.

La délégation a constaté que ce contrat ne contient pas de clause spécifique précisant les obligations du prestataire en matière de confidentialité des données à caractère personnel.

Ces faits constituent un manquement aux dispositions de l'article 35 de la loi n° 78-17 du 6 janvier 1978 modifiée qui dispose notamment que le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement .

Un manquement à l'obligation de respecter le droit d'opposition

La délégation a été informée que, pour faire droit à la demande des personnes de ne plus recevoir de sollicitation de la part de la société ou de ses partenaires, la société conserve uniquement l'adresse électronique et une version hachée de cette donnée.

En premier lieu, la délégation a pris copie d'une extraction de la base de données de la société concernant les 100 comptes les plus anciens ne possédant plus aucun abonnement à un des courriels envoyés par la société, classés par ordre chronologique de date de dernier désabonnement (fichier extract-desabo-person ). Il s'agit de comptes de personnes qui se sont désabonnées via le bouton Gérer mes abonnements .

La délégation a constaté que les personnes s'étant désabonnées de toutes sollicitations de la société ont continué à recevoir des courriels après la date de désabonnement. À titre d'exemple, la plus ancienne date de désabonnement remonte au 29 mars 2009. Or, la personne concernée a reçu un courriel le 16 février 2014.

En second lieu, la délégation a pris copie d'une extraction des 50 comptes les plus anciens dans la base de données de personnes ayant exprimé leur opposition à recevoir les sollicitations de la société par ordre de date d'opposition croissante (fichier extract-blacklist-person ). Il s'agit de personnes ayant exercé directement leur droit d'opposition, par exemple en envoyant un courriel au Correspondant Informatique et Libertés de la société.

La délégation a constaté que les personnes ayant exercé leur droit d'opposition ont continué à recevoir des sollicitations de la part de la société. À titre d'exemple, une personne s'étant opposée le 24 juin 2009 a reçu un courriel le 6 mars 2010.

Ces faits constituent donc un manquement aux dispositions de l'article 38 de la loi n° 78-17 du 6 janvier 1978 qui dispose que Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. Elle a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur (...) .

En outre, il convient de rappeler que, en application des dispositions combinées des articles 121-2, 131-37, 131-38 et 226-18-1 du code pénal, le fait pour une personne morale de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de 1 500 000 euros d'amende.

Un manquement à l'obligation de veiller à l'adéquation, à la pertinence et au caractère non excessif des données

La délégation a constaté que la société conserve d'autres données que l'adresse électronique des personnes ayant exercé leur droit d'opposition, et notamment les données suivantes : nom, prénom, date de naissance, signe astrologique, code postal, date de dernière affichage des données à l'intérieur d'un courriel, date de dernier clic à l'intérieur d'un courriel et indice de réactivité.

Les faits précités constituent un manquement aux obligations découlant du 3° de l'article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée, qui dispose que les données à caractère personnel collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

En conséquence, la société X, sise [...], est mise en demeure, sous un délai de un (1) mois, à compter de la notification de la présente décision et sous réserve des mesures qu'elle aurait déjà pu adopter, de :

• ne pas traiter les données à des fins de prospection directe électronique, sans avoir au préalable recueilli le consentement libre, spécifique et informé des personnes concernées, notamment en mentionnant la liste exhaustive des lettres d'information auxquelles elles s'inscrivent ;

• veiller à ce que les durées de conservation des données traitées par la société ne soient pas excessives au regard de la finalité du traitement concerné, et notamment s'assurer que la durée de conservation des données relatives aux clients et prospects n'excède pas les durées prévues par la norme simplifiée n° 48 à laquelle la société a souscrit un engagement de conformité ;

• procéder à l'information de toutes les personnes concernées, dans les conditions prévues à l'article 32 de la loi n° 78-17 du 6 janvier 1978, notamment en prévoyant une mention d'information complète sur les formulaires d'inscription ;

• prendre toute mesure de sécurité, pour l'ensemble des traitements de données à caractère personnel qu'elle met en œuvre, permettant de préserver la sécurité de ces données et d'empêcher que des tiers non autorisés y aient accès, notamment :

- en imposant le renouvellement régulier des mots de passe des utilisateurs du back office ;

- en s'assurant que les données échangées sont transmises de manière sécurisée ;

• prévoir, dans les contrats avec les prestataires de la société et conformément à l'article 35 de la loi n° 78-17 du 6 janvier 1978, une clause précisant les obligations incombant à ces prestataires en matière de protection de la sécurité et de la confidentialité des données à caractère personnel ;

• prendre toute mesure de nature à garantir qu'il soit tenu compte, de manière systématique, du droit d'opposition exercé par les personnes concernées, notamment en cessant de les contacter;

• ne pas traiter de données non pertinentes, excessives ou inadéquates au regard des finalités poursuivies, notamment en supprimant les données des personnes ayant exercé leur droit d'opposition (à l'exception de l'adresse électronique qui peut être conservée afin de garantir que l'exercice du droit d'opposition est respecté de façon pérenne) ;

• justifier auprès de la CNIL que l'ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l'issue de ce délai, si la société X s'est conformée à la présente mise en demeure, il sera considéré que la procédure est close et un courrier lui sera adressé en ce sens.

À l'inverse, s'il est constaté que la société X ne s'est pas conformée à la présente mise en demeure, un rapporteur pourra être désigné et demander à la formation restreinte de la Commission de prononcer l'une des sanctions prévues par l'article 45 de la loi du 6 janvier 1978 modifiée.