Livv
Décisions

CNIL, 24 juin 2015, n° 2015-061

CNIL

Décision

COMPOSITION DE LA JURIDICTION

Présidente :

Mme Falque-Pierrotin

CNIL n° 2015-061

23 juin 2015

La Présidente de la Commission nationale de l’informatique et des libertés ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code pénal ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 45 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu les décisions n° 2014-274C, 2014-275C, 2014-276C, 2014-277C et 2014-278C du 9 octobre 2014 de la Présidente de la Commission nationale de l’informatique et des libertés de procéder à des missions de vérification de tout traitement de données à caractère personnel mis en œuvre dans le cadre de la gestion et de l’exploitation des sites internet VV, WW, YY et ZZ, et des applications correspondant, et auprès de la société X ;

Vu les procès-verbaux de contrôle sur place n° 2014-274/1, 2014-275/1, 2014-276/1, 2014-277/1, 2014-278/1 et n° 2014-278/2 du 21 et 22 octobre 2014, ainsi que le procès-verbal de constatation en ligne n° 2014-278/3 du 29 mai 2015 ;

I- Constate les faits suivants

La société X (ci-après la société ), sise […], gère plusieurs milliers de sites de rencontre en ligne. Elle a également crée une plateforme d’affiliation offrant à ses partenaires un service tout compris de plateforme de rencontre en marque blanche, qu’elle a cédée à la société (…) en septembre 2014 et que la société X loue dorénavant à cette dernière. La société gère donc de nombreux sites internet, que ce soit en propre ou dans le cadre de contrats d’affiliation (ci-après les sites internet de la société ).

La société emploie une trentaine de personnes et a dégagé un chiffre d’affaires (…) sur l’exercice 2013.

En application des décisions n° 2014-274C, 2014-275C, 2014-276C, 2014-277C et 2014-278C du 9 octobre 2014 de la Présidente de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission ), une délégation de la CNIL a procédé auprès de la société X à des missions de contrôle sur place les 21 et 22 octobre 2014, ainsi qu’à des constatations en ligne le 29 mai 2015. La délégation s’est attachée à examiner la conformité des traitements de données à caractère personnel mis en œuvre par la société, ou pour son compte, aux dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée, et en particulier ceux relatifs à la gestion et à l’exploitation des sites internet VV, WW, YY et ZZ et des applications correspondantes.

La délégation a été informée sur place que la base de données de la société est divisée en 4 sections ( sexy , love , gay et matchmaking ). Alors que les membres du site ZZ sont tous regroupés dans la section matchmaking , les membres des autres sites de la société sont répartis entre les trois autres sections. Ainsi, la personne qui s’est inscrite sur un de ces sites pourra être mise en relation avec un membre d’un autre site appartenant à la même section.

La délégation a également été informée sur place que la société met en œuvre un traitement lui permettant de détecter les fraudeurs et d’exclure ces derniers de ses sites internet. La société peut aussi exclure des membres qui ne respectent pas les conditions générales du site internet.

En outre, la délégation a constaté sur place que la société ne recueille pas le consentement des utilisateurs à la collecte des données relatives à leur vie sexuelle, à leur origine ethnique et à leur orientation religieuse.

Par ailleurs, il a été constaté sur place qu’aucune information relative aux traitements de données personnelles mis en place par la société n’est présente sur le formulaire d’inscription aux sites internet ni sur les pages permettant aux utilisateurs de compléter leur profil.

La délégation a également constaté sur place que la société conserve en archives les données des profils des membres ayant demandé leur désinscription, ainsi que des profils supprimés des sites internet en raison d’une inactivité prolongée ou d’une action de modération.

De même, elle a constaté en ligne le dépôt de cookies soumis au consentement dès l’arrivée sur la page d’accueil de certains sites internet de la société. Elle a également constaté en ligne que les données enregistrées dans certains cookies sont conservées pendant des durées pouvant aller jusqu’à 2 ans.

(…)

En outre, il a été constaté sur place que les contrats conclus entre la société et ses prestataires de service ne précisent pas toujours les obligations de ces derniers en matière de sécurité et de confidentialité des données.

Enfin, la délégation a été informée sur place que la société n’est pas en mesure de donner droit aux éventuelles demandes de droit d’accès des membres.

II- Sur les manquements constatés au regard des dispositions de la loi du 6 janvier 1978 modifiée

Un manquement à l’obligation d’accomplir les formalités préalables à la mise en œuvre du traitement

La délégation a été informée sur place que la société met en œuvre un traitement lui permettant de détecter les spammeurs et les fraudeurs. Pour ce faire, elle a recours à l’outil proposé par la société (…), qui attribue une note de score à chaque internaute en fonction de son comportement et des alertes remontées par les différents clients de la société (…). Lorsque cet outil identifie de potentiels fraudeurs, la société X reçoit des alertes.

En outre, la délégation a été informée sur place que la société utilise l’outil (…) pour constituer une liste d’exclusion des membres fraudeurs. Elle a également été informée que la société procède à l’exclusion des membres qui disposent de plusieurs comptes au sein d’une même section de la base de données de la société.

Par ailleurs, la délégation a été informée sur place que la société peut adresser un avertissement aux membres qui ne respectent pas les conditions générales d’utilisation (CGU) des sites internet. La société procède à l’exclusion des membres ayant commis des manquements graves aux CGU ou ayant reçu plus de deux avertissements.

Il apparaît que ces traitements sont susceptibles d’exclure des personnes du bénéfice d’un contrat ou d’une prestation. Ils relèvent donc du régime de l’autorisation en matière de formalités préalables auprès de la CNIL.

Or, la société n’a procédé à aucune demande d’autorisation concernant de tels traitements. Dans un courrier reçu le 14 janvier 2015, la société a indiqué avoir procédé à la régularisation des formalités préalables permettant d’encadrer ses traitements. La société a en effet déposé une demande d’autorisation pour un traitement relatif à la gestion des fichiers clients et mise en relation des membres inscrits sur le site internet VV . Outre le fait que cette demande d’autorisation ne couvrait qu’un seul de ses sites, elle ne mentionnait pas la mise en place des traitements décrits ci-dessus. La Commission a donc procédé à sa requalification en déclaration normale.

Ces faits constituent un manquement aux dispositions du 4° de l’article 25-I de la loi du 6 janvier 1978 modifiée qui dispose que, sont mis en œuvre après autorisation de la CNIL, Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire .

Il est rappelé qu’en application des articles 226-16 alinéa 1er et 226-24 du code pénal combinés, le fait pour une personne morale, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation de recueillir le consentement de la personne concernée pour le traitement de données sensibles relatives aux origines ethniques, aux opinions religieuses et à la vie sexuelle des personnes

La délégation a constaté sur place que, lors de leur inscription sur les sites internet VV, WW et YY, les membres peuvent préciser, via des menus déroulants, leur orientation sexuelle (par exemple homosexuel , bisexuel , ou transsexuel sur le site WW), leur origine ethnique et leur orientation religieuse. Les membres du site ZZ ont quant à eux l’obligation d’indiquer, via des menus déroulants, leur origine ethnique (par exemple asiatique ) et leur orientation religieuse (par exemple protestante , musulmane ou catholique ).

L’article 8 de la loi du 6 janvier 1978 modifiée prévoit notamment qu’il est interdit de collecter ou de traiter des données à caractère personnel qui sont relatives aux origines ethniques, aux opinions religieuses et à la vie sexuelle des personnes, sauf dans les cas prévus au II de cet article, notamment en cas de consentement exprès des personnes concernées.

Or, le consentement ne peut être exprès que s’il est donné en toute connaissance de cause c’est-à-dire après la délivrance d’une information adéquate sur l'usage qui sera fait des données personnelles.

En l’espèce, aucun moyen technique à l’endroit de la collecte n’est mis à la disposition de la personne auprès de laquelle les données sensibles sont collectées et traitées afin de s’assurer qu’elle y consent de manière expresse sur la base d’une information spécifique.

Par courrier électronique du 19 novembre 3014, la société a indiqué avoir rendu facultatifs les champs relatifs à l’origine ethnique et à l’orientation religieuse, et avoir ajouté un champ ne souhaite pas l’indiquer . Dans un courrier reçu le 14 janvier 2015, elle a confirmé que le renseignement de ces champs n’est dorénavant plus obligatoire et a estimé que les utilisateurs peuvent dès lors exprimer leur consentement en renseignant ces champs facultatifs.

Or, la Commission considère qu’une telle action de la part de la personne concernée ne saurait être considérée comme un consentement exprès. En effet, l'utilisateur doit pouvoir marquer son assentiment en cochant une case dédiée à l'approbation de l'usage de ses données personnelles sensibles auquel il consent, ce qui n’est pas le cas en l’espèce.

Ces faits constituent un manquement à l’article 8 de la loi du 6 janvier 1978 modifiée susmentionné.

Il est rappelé enfin qu’en application des articles 226-19 et 226-24 du code pénal combinés, le fait pour une personne morale, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle de celles-ci, est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation d’informer les personnes

La délégation a constaté sur place que ni les formulaires d’inscription aux sites VV, WW, YY et ZZ ni les pages permettant aux utilisateurs de compléter leur profil ne contiennent d’information relative au traitement de données à caractère personnel.

Ces faits constituent un manquement à l’article 32-I de la loi n° 78-17 du 6 janvier 1978 modifiée qui dispose que :

I.-La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant :

1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Du caractère obligatoire ou facultatif des réponses ;

4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;

5° Des destinataires ou catégories de destinataires des données ;

6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne.

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

Il est également rappelé qu’en application des articles 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas informer, dans les conditions prévues à l’article 32 de la loi du 6 janvier 1978 modifiée, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est puni d’une peine d’amende pouvant atteindre 7.500 €.

Un manquement à l’obligation de définir et respecter une durée de conservation des données proportionnée à la finalité du traitement

En premier lieu, en procédant à deux engagements de conformité à la norme simplifiée n° 48 relative aux traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects (n° 1212439 et 1825814), la société s’est engagée à respecter la durée de conservation prévue par celle-ci, à savoir la durée strictement nécessaire à la gestion de la relation commerciale . Cette norme simplifiée prévoit également la possibilité de conserver certaines données en archives : les données permettant d’établir la preuve d’un droit ou d’un contrat, ou conservées au titre du respect d’une obligation légale peuvent être archivées conformément aux dispositions en vigueur (notamment celles prévues par le code de commerce, le code civil et le code de la consommation) .

En l’espèce, la délégation a été informée sur place que les données personnelles d’un membre (dont ses données de profil) sont archivées 15 jours après sa demande de désinscription ou après la suppression de son profil d’un site en raison d’une inactivité prolongée (1 mois, pour les non abonnés) ou d’une action de modération. La politique d’archivage de la société consiste à déplacer toutes les données d'un utilisateur des serveurs de production vers les serveurs d'archives.

La délégation a constaté sur place la présence dans les bases de données de la société de (…) de profils archivés dont (…) archivés depuis plus de 3 ans. En outre, il apparaît que (…) profils archivés ont été activés en 2002 (date de mise en ligne des sites VV, WW et YY).

Or, une telle conservation apparaît excessive au regard de la finalité du traitement. En effet, la société s’est engagée à ne conserver en archives que les seules données dont elle a besoin pour établir la preuve d’un droit ou d’un contrat ou pour lui permettre de respecter une obligation légale, et ce pour les durées spécifiquement prévues par les textes applicables.

En second lieu, la délégation a constaté en ligne que les données enregistrées dans certains cookies déposés par les sites internet de la société sont accessibles pendant une durée excessive par rapport aux finalités poursuivies, pouvant aller jusqu’à 2 ans.

A cet égard, la CNIL a adopté la délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs. Cette recommandation, qui n’a pas de valeur impérative, vise à interpréter les dispositions législatives précitées et à éclairer les responsables de traitement sur la mise en place de mesures concrètes permettant de garantir le respect de ces dispositions, afin, soit qu’ils mettent en œuvre ces mesures, soit qu’ils mettent en œuvre des mesures d’effet équivalent.

Cette recommandation précise que les Cookies doivent (…) avoir une durée de vie limitée à treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur (faisant suite à l’expression du consentement) et leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site .

L’ensemble de ces faits constitue un manquement aux obligations découlant du 5° de l’article 6 de la loi du 6 janvier 1978 modifiée qui prévoit que les données à caractère personnel sont conservées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Il est en outre rappelé qu’en application des articles 226-20 et 226-24 du code pénal combinés, le fait pour une personne morale, de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d’autorisation ou d’avis, ou par la déclaration préalable adressée à la Commission nationale de l’informatique et des libertés, est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation d’informer et d’obtenir l’accord préalable des personnes concernées avant d’inscrire des informations (cookies) sur leur équipement terminal de communications électroniques ou d’accéder à celles-ci (lecture des cookies)

L’article 32-II de la loi du 6 janvier 1978 modifiée dispose que Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement;

des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur .

Les cookies nécessitant une information et un consentement préalables de l’internaute sont notamment les cookies liés aux opérations relatives à la publicité ciblée et les cookies traceurs de réseaux sociaux générés par les boutons de partage de réseaux sociaux .

Afin de proposer aux professionnels du secteur des lignes directrices en la matière, la CNIL a adopté la délibération précitée n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs. Cette recommandation, qui n’a pas de valeur impérative, vise à interpréter les dispositions législatives précitées et à éclairer sur la mise en place de mesures concrètes permettant de garantir le respect de ces dispositions, afin, soit qu’ils mettent en œuvre ces mesures, soit qu’ils mettent en œuvre des mesures d’effet équivalent.

Cette recommandation rappelle que la validité du consentement est liée à la qualité de l’information reçue . La Commission recommande donc que ce consentement soit recueilli en deux étapes :

première étape : l’internaute qui se rend sur le site d’un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau : des finalités précises des Cookies utilisés ; de la possibilité de s’opposer à ces Cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ; du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal ;

seconde étape : les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des Cookies nécessitant un recueil du consentement : pour l’ensemble des technologies visées par l’article 32-II précité ; par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d'audience .

En outre, la recommandation indique que l’information doit être visible, mise en évidence et complète .

En l’espèce, lors des missions de contrôle sur place effectuées auprès de la société, la délégation s’est connectée aux sites VV, WW, YY et ZZ et a constaté en ligne le dépôt de cookies sur son équipement terminal. Par courrier électronique reçu le 19 novembre 2014, la société a indiqué avoir réduit le nombre de cookies déposés. Il a donc été procédé à des constatations en ligne sur ces 4 sites internet.

En se connectant au site VV, la délégation a constaté le dépôt de 35 cookies sur son équipement terminal. Par courrier reçu le 23 juin 2015, la société a indiqué que 26 des 79 cookies déposés sur le site VV ont une finalité publicitaire (par exemple, les cookies déposés par les domaines .adnxs.com et .mookie1.com .

La délégation a également constaté, sur le site internet, la présence d’un bandeau indiquant que Afin d’améliorer votre expérience de navigation et l’utilisation du service, votre site de rencontre utilise des cookies. Des cookies peuvent donc déjà avoir été installés sur votre ordinateur. Pour plus d’information, vous pouvez consulter nos conditions d’utilisation des cookies .

Cette mention d’information n’est pas satisfaisante dans la mesure où la personne n’est pas informée :

des finalités des cookies déposés ;

de la possibilité de changer les paramètres des cookies en cliquant sur un lien présent dans le bandeau ;

de ce qu’une action positive de la part de l’internaute, à savoir la poursuite de la navigation sur le site, est requise pour exprimer son accord au dépôt des cookies.

En outre, la page intitulée Conditions d’utilisation des cookies X , qui est accessible à partir du lien hypertexte conditions d’utilisation des cookies présent sur le bandeau, n’informe pas l’internaute quant aux moyens mis à sa disposition pour empêcher le dépôt des cookies.

De même, en se connectant au site YY, la délégation a constaté en ligne le dépôt de 10 cookies sur son équipement terminal, dont l’un est un cookie traceur de réseaux sociaux (le cookie NID déposé par le domaine .google.com ).

La délégation a également constaté, sur le site internet, la présence d’un bandeau indiquant que Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. Si vous continuez à utiliser ce dernier, nous considérerons que vous acceptez l’utilisation des cookies et contenant deux boutons cliquables OK et En savoir + .

Cette mention d’information n’est pas satisfaisante dans la mesure où la personne n’est pas informée :

des finalités des cookies déposés ;

de la possibilité de changer les paramètres des cookies en cliquant sur un lien présent dans le bandeau.

En revanche, la page intitulée Politique de confidentialité , qui est accessible à partir du lien hypertexte En savoir + présent sur le bandeau, informe l’internaute quant à la possibilité dont il dispose de paramétrer son navigateur pour empêcher le dépôt des cookies.

Ce paramétrage est, en l’espèce, un moyen valable d’opposition dans la mesure où le site ne dépose ni cookies techniques essentiels à son fonctionnement (qui seraient bloqués si l’internaute décidait de bloquer tous les cookies à partir de son navigateur, ce qui empêcherait celui-ci d’utiliser le site) ni de cookies provenant du domaine du site (first party) nécessitant le recueil du consentement (qui ne seraient pas bloqués si l’internaute décidait de ne bloquer à partir de son navigateur que les cookies provenant du domaine d’un tiers (third party).

Par ailleurs, pour ces deux sites internet, la délégation a constaté en ligne que le dépôt de cookies dans l’équipement terminal de communications électroniques de l’internaute s’opère dès la connexion au site internet, avant toute action de la part de l’internaute tendant à poursuivre sa navigation sur le site.

Au regard de ce qui précède, il apparaît que la société n’a pas informé les personnes concernées et n’a pas recueilli leur consentement avant de procéder au dépôt des cookies.

L’ensemble de ces faits constitue un manquement au II de l’article 32 précité de la loi du 6 janvier 1978 modifiée, qui soumet notamment à information et à accord préalables de l’internaute le dépôt de tels cookies.

En outre, il est rappelé qu’en application des articles 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas informer les personnes concernées et obtenir leur accord avant d’accéder à ou d’inscrire des informations dans leur équipement terminal de communications électroniques est puni d’une peine d’amende pouvant atteindre 7.500 €.

Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données

(…)

Eu égard notamment à la sensibilité des données traitées, ces faits constituent un manquement à l’article 34 de la loi n° 78-17 du 6 janvier 1978 disposant que Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

Il est en outre rappelé qu’en application des articles 226-17 et 226-24 du code pénal combinés, le fait pour une personne morale de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données gérées par un sous-traitant

La délégation a constaté sur place que les contrats conclus entre la société et ses prestataires de paiement (…), ainsi que son prestataire de lutte contre la fraude (…), ne prévoient pas de clauses relatives aux obligations de ces prestataires en matière de sécurité et de confidentialité des données personnelles.

Ces faits constituent un manquement aux dispositions de l’article 35 de la loi n° 78-17 du 6 janvier 1978 qui dispose notamment que Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement .

Un manquement à l’obligation de respecter le droit d’accès

La délégation a été informée sur place que la société n’a jusqu’à présent reçu aucune demande d’accès aux données d’un membre. La société a cependant précisé qu’elle ne pourrait répondre favorablement à une demande qui concernerait un compte supprimé d’un site ou pour lequel le membre s’est désinscrit depuis plus de 15 jours, les données étant archivées.

Ces faits constituent un manquement aux obligations découlant du 4° du I de l’article 39 de la loi du 6 janvier 1978 qui dispose que Toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir : […]

4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci ; […] .

De plus, l’alinéa 1er de l’article 98 du décret du 20 octobre 2005 modifié dispose que La demande d’accès peut être effectuée par écrit. , et l’alinéa 1er de l’article 94 du décret précité mentionne que Le responsable du traitement répond à la demande présentée par l’intéressé dans le délai de deux mois suivant sa réception. .

Il est rappelé qu’en application des articles 131-41 et R. 625-11 du code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas communiquer à la personne, sous une sous forme accessible, dans les conditions prévues à l’article 39 de la loi du 6 janvier 1978 modifiée, des données à caractère personnel qui la concernent est puni d’une peine d’amende pouvant atteindre 7 500 euros.

En conséquence, la société X, sise […], est mise en demeure, sous un délai de trois (3) mois, à compter de la notification de la présente décision, pour l’ensemble des sites internet qu’elle gère en propre ou en marque blanche, et sous réserve des mesures qu’elle aurait déjà pu adopter, de :

procéder à l’accomplissement des formalités préalables applicables aux traitements mis en œuvre, en particulier procéder à une demande d’autorisation pour l’ensemble des traitements de détection de la fraude et d’exclusion des personnes concernées ;

recueillir le consentement exprès des personnes, sur la base d’une information spécifique, à la collecte et au traitement de leurs données sensibles - en l’espèce des données relatives aux origines ethniques, à la vie sexuelle des personnes et à leur orientation religieuse - par tout procédé, tel qu’une case à cocher, apposé à l’endroit de la collecte ;

procéder à l’information des utilisateurs du site internet, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée, quant aux traitements de données à caractère personnel mis en place, et ce directement sur les formulaires d’inscription aux sites internet de la société et sur les pages permettant aux utilisateurs de compléter leur profil ;

définir et mettre en œuvre une politique d’archivage des données des membres qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées, et notamment :

justifier des dispositions permettant l’archivage des données à caractère personnel et respecter la durée prévue par ces dispositions, conformément à la norme simplifiée n° 48 pour laquelle la société a souscrit un engagement de conformité pour la gestion des membres de ses sites internet (n° 1212439 et 1825814) ;

procéder à la purge des données des profils archivés qui ne sont pas nécessaires à l’établissement de la preuve d’un droit ou d’un contrat ou au respect d‘une obligation légale, conformément à la norme simplifiée n° 48 ;

ne pas déposer de cookies dont la durée de validité est supérieure à treize mois après leur dépôt sur l’équipement terminal de la personne concernée ;

informer et obtenir l’accord préalable des personnes concernées à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci. A cet égard, il appartient à la société, sauf à mettre en place un dispositif présentant les mêmes garanties :d’indiquer aux personnes concernées, au préalable et de manière claire et complète, sur le bandeau présent sur le site internet :

les finalités de tous les cookies soumis au consentement ;

que la personne concernée a la possibilité de changer les paramètres de ces cookies en cliquant sur un lien présent dans le bandeau. Ce bandeau doit renvoyer à une page présentant les solutions adéquates mises à la disposition des personnes concernées pour accepter ou refuser les cookies ;

que la poursuite de la navigation vaut consentement au dépôt des cookies ;

de conditionner cette inscription et cet accès à une action positive préalable des personnes concernées ;

prendre toute mesure de sécurité, pour l’ensemble des traitements de données à caractère personnel qu’elle met en œuvre, permettant de préserver la sécurité de ces données et d’empêcher que des tiers non autorisés y aient accès, notamment :

prévoir au sein de tous les contrats liant la société avec ses prestataires de services, en particulier les sociétés (…) et (…), des clauses permettant de définir les obligations incombant aux prestataires en matière de protection de la sécurité et de la confidentialité des données des clients de la société, et précisant que les prestataires ne peuvent agir que sur instruction du responsable du traitement, conformément aux dispositions de l’article 35 de la loi du 6 janvier 1978 modifiée ;

respecter le droit d’accès des personnes en particulier en définissant et mettant en place une procédure de gestion de ces demandes afin de rendre leur traitement effectif ;

justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l’issue de ce délai, si la société X s’est conformée à la présente mise en demeure, il sera considéré que la procédure est close et un courrier lui sera adressé en ce sens.

À l’inverse, s’il est constaté que la société X ne s’est pas conformée à la présente mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de la Commission de prononcer l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée.