Messages les plus consultés

mercredi 16 novembre 2011

La collecte de données personnelles sur les réseaux sociaux soumise à la loi Informatique et Libertés

Les informations personnelles mises en ligne par les utilisateurs des réseaux sociaux ont une réelle valeur économique, pour les annonceurs et les prestataires de services notamment. Toutefois, l’utilisation de ces données par des tiers n’est pas libre, alors même que ces informations sont visibles par tous. En effet, la collecte et le traitement de ces données doivent respecter les principes définis par la loi Informatique et Libertés. C’est ce qu’a rappelé la CNIL dans une délibération rendue le 21 septembre 2011, sanctionnant la société PagesJaunes pour avoir mis en oeuvre un traitement de données non conforme à la loi.(1)


1. Le traitement mis en oeuvre par la société PagesJaunes pour enrichir ses annuaires

Début 2010, la société PagesJaunes, éditrice des services d'annuaires Pages Jaunes et Pages Blanches sur internet, a déclaré à la CNIL un nouveau service en ligne mettant en oeuvre une fonctionnalité de "web crawl", visant à enrichir le contenu de ses annuaires et bases de données. Ainsi, courant 2010, la société PagesJaunes a, par le biais d'un logiciel de collecte automatique de données sur internet, récupéré les données d’utilisateurs inscrits sur plusieurs réseaux sociaux (photo, établissements scolaires, profession, employeur, etc.) pour compléter les informations disponibles sur le site des pages blanches (identité, coordonnées téléphoniques, adresse postale). La société a ainsi indexé sur son site près de 34 millions de profils communautaires, issus de 6 réseaux sociaux : Facebook, Twitter, Viadeo, LinkedIn, Trombi et Copains d'avant.

Saisie de plaintes de particuliers ne parvenant pas à faire valoir leur droit d'opposition à la réutilisation des données les concernant, la CNIL a ordonné une mission de contrôle sur place, dans les locaux de la société. Lors de ce contrôle, la CNIL a notamment pu constater les éléments suivants :

- Les informations personnelles "aspirées" puis mises en ligne par la société PagesJaunes étaient collectées sans que les utilisateurs des réseaux sociaux aient donné leur consentement ni même en aient été informés. En outre, la collecte pouvait concerner des données relatives à des mineurs et à des personnes inscrites sur la liste rouge téléphonique.

- Pour s'assurer que les données collectées ne correspondaient qu'à des personnes résidant en France, PagesJaunes procédait à un filtrage des pages issues des réseaux sociaux. Pour ce faire, la société extrayait de son annuaire les nom et prénoms de ses abonnés pour les conserver dans un fichier intermédiaire puis les croiser avec la base de données contenant les profils des réseaux sociaux.

- Les personnes ne souhaitant pas apparaître sur le site des Pages Blanches avaient la possibilité de s'y opposer, a posteriori, en remplissant un formulaire en ligne. Or, l'intéressé devait remplir autant de formulaires que de profils détenus sur les réseaux sociaux et toute demande d'opposition imprécise n’était pas traitée.

- Les suppressions demandées par les personnes exerçant leur droit d'opposition n’étaient pas définitives puisque leurs profils pouvaient de nouveau être indexés automatiquement par le logiciel des PagesJaunes, en cas de changement d’URL d’un profil par exemple.

- Enfin, les informations figurant sur le site des Pages Blanches, résultant de l'indexation de profils communautaires, n’étaient pas à jour, car non régulièrement actualisées par la société PagesJaunes.

La CNIL a donc considéré que les procédés de collecte et de traitement des données personnelles, mis en oeuvre par la société PagesJaunes, n’étaient pas conformes à la loi Informatique et Libertés. En outre, bien que la société ait suspendu le traitement litigieux de "web crawl" avant la délibération de la CNIL, la Commission a prononcé à son encontre un avertissement rendu public.

Quels sont les manquements à la loi Informatique et Libertés reprochés à la société PagesJaunes ?


2. Une collecte et un traitement de données à caractère personnel jugés non conformes à la loi Informatique et Liberté

    2.1 Une collecte déloyale et illicite des données à caractère personnel

L'absence de consentement préalable des personnes concernées
La loi prévoit que le responsable d'un traitement de données doit mettre en oeuvre une collecte loyale, par l’obtention notamment du consentement de la personne dont les données sont collectées.(2)

En l'espèce, le procédé mis en oeuvre par la société PagesJaunes consistait à collecter de façon massive, répétitive et indifférenciée, les données personnelles des utilisateurs inscrits sur les réseaux sociaux, sans leur consentement préalable.

La société PagesJaunes soutenait que les internautes publiant volontairement des informations les concernant sur les réseaux sociaux, et ne restreignant pas l'accès à leur profil, consentaient implicitement à la réutilisation de ces informations par des tiers. Cet argument a été rejeté par la CNIL, qui relève notamment que la collecte litigieuse concernait des données de mineurs "rarement conscients de la portée de diffusion de telles informations", et de personnes inscrites sur la liste rouge téléphonique.

La CNIL a jugé que ce type de collecte était déloyal. La Commission confirme ainsi que le fait que ces informations personnelles soient librement accessibles sur internet n'autorise pas les tiers à les collecter sans l'accord préalable des personnes concernées.

L'absence d'information des personnes concernées
La loi prévoit que le responsable d'un traitement de données doit informer les personnes concernées par cette collecte et communiquer son identité, la finalité poursuivie par le traitement en cause, les destinataires des données, les droits dont bénéficient ces personnes à l’égard du traitement de données, le cas échéant, si les données seront exportées, etc.

En l'espèce, la société PagesJaunes ne fournissait pas ces informations. Pour justifier ce manquement, la société invoquait l'une des exceptions légales à l'obligation d'information, à savoir le fait que les personnes, dont les données étaient collectées puis publiées sur le site des Pages Blanches, avaient déjà été informées de la réutilisation de leurs données par le biais des conditions d'utilisation et de la politique de confidentialité des réseaux sociaux. Ces documents stipulent que les données à caractère personnel des utilisateurs peuvent être indexées par des moteurs de recherche.

La CNIL considère que les sites des PagesJaune ne sont pas des moteurs de recherche. L’activité d'édition d'annuaires consiste en l’exploitation de bases de données, et non dans "la mise en œuvre d’une application permettant de retrouver des ressources extérieures à celles enregistrées dans ses bases."

La collecte de données à caractère personnel sur les profils communautaires, à l'insu des personnes concernées, est donc déloyale et illicite.

    2.2 Un traitement illicite de données personnelles


Le non-respect de la finalité déclarée du traitement
Un fichier de données personnelles ne peut être exploité à d'autres fins que celles initialement déclarées. La loi dispose ainsi qu'un traitement ne peut porter que sur des données collectées pour des finalités déterminées, explicites et légitimes. Les données ne peuvent être traitées ultérieurement de manière incompatible avec ces finalités. 

En l'espèce, l’extraction des données des abonnés de l’annuaire Pages Blanches, à des fins de filtrage des profils des réseaux sociaux pour s'assurer que les données collectées ne correspondaient qu'à des personnes résidant en France n’avait pas de lien avec la finalité initialement déclarée pour le service des Pages Blanches.

La CNIL considère que ce procédé constitue un détournement de finalité et donc, un traitement illicite de données personnelles.

Le non-respect des droits des personnes concernées
La loi prévoit que les personnes concernées par un traitement de données à caractère personnel bénéficient des droits d'accès, de contestation, de rectification des données et d'opposition au traitement.

La CNIL a considéré que les procédures mises en oeuvre par la société PagesJaunes, afin que les personnes concernées puissent faire valoir leurs droits d'opposition et de rectification, étaient trop complexes et inefficaces : (i) la procédure de demande d'opposition était soumise à l’envoi d’un formulaire par profil. En outre, cette procédure ne garantissait pas que les données seraient définitivement supprimées (réindexation suite à une nouvelle collecte sur un profil modifié par exemple) ; (ii) Il appartenait aux intéressés de procéder directement aux modifications souhaitées sur leurs profils communautaires, du fait de leur indexation sur le site des Pages Blanches. Ces rectifications étaient souvent inopérantes, compte tenu de l'absence de mise à jour régulière des données issues des profils des réseaux sociaux.

Sur la base de ces divers manquements à la loi Informatique et Libertés, la CNIL a décidé d’émettre un avertissement public à l’encontre de la société PagesJaunes, sans pour autant aller jusqu’à demander l’application d’une sanction pécuniaire, la société ayant suspendu le traitement litigieux pendant la procédure.


Ce n'est pas la première fois que la CNIL se prononçait sur une affaire de collecte illicite par aspiration de données disponibles sur internet. En 2006, la Cour de cassation, confirmant la position de la CNIL, avait condamné le dirigeant d'une société à 3000€ d’amende, à la suite d’une collecte de données illicite, dont l’objectif était de constituer des fichiers de prospects. Cette société avait collecté des données personnelles au moyen d'un logiciel aspirant des informations sur internet, sans que les personnes concernées aient donné leur consentement, ni même en aient été informées. A ce titre, il convient de rappeler que toute personne réutilisant des données à caractère personnel en violation des dispositions de la loi Informatique et Libertés encourt des sanctions pénales pouvant aller jusqu’à 5 ans d'emprisonnement et 300.000€ d'amende.(4)
* * * * * * * * * * *

(1) Délibération de la formation restreinte de la CNIL n°2011-203 du 21 septembre 2011 portant avertissement à l'encontre de la société PagesJaunes et Loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.
(2) Voir articles 6 (1°) et 32 de la loi Informatique et Libertés relatifs à la collecte loyale et à l'information des personnes concernées. Par ailleurs, le responsable de traitement est défini à l'article 3 de la loi comme étant la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement. Enfin, l'article 7 dispose qu’”un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée (...)".
(3) Voir articles 6 (2°) et 38 à 40 de la loi Informatique et Libertés. De même, l'article 6 (4°) dispose que les données personnelles doivent être exactes et, si nécessaire, mises à jour ; il incombe au responsable du traitement de prendre les mesures appropriées pour que les données inexactes au regard des finalités pour lesquelles elles sont collectées ou traitées, soient rectifiées.
(4) Cass. crim., 14 mars 2006, n°05-83.423 et articles 226-16 et s. du Code pénal.


Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2011

Aucun commentaire:

Enregistrer un commentaire