Dans une décision du 19 décembre 2013, la Cour de justice de l’Union européenne (CJUE) a rappelé les conditions d’utilisation d’un métamoteur de recherche dédié pour que celui-ci ne soit pas considéré comme enfreignant les droits des exploitants des bases de données. (1)
Le litige opposait deux sociétés néerlandaises : la société Innoweb, qui exploite un métamoteur de recherche dédié dans le domaine de la vente automobile (gaspedaal.nl), à la société Wegener, qui exploite un site web d’annonces de vente de voitures d’occasion (autotrack.nl).
La société Wegener, considérant qu’Innoweb portait atteinte à ses droits d’exploitant de base de données par la mise à disposition d’un métamoteur de recherche, a assigné cette dernière afin de mettre fin à l’atteinte à ses droits. Wegener a obtenu gain de cause pour la plupart de ses demandes en première instance. La société Innoweb a fait appel. La cour a alors décidé de poser une série de questions préjudicielles à la Cour de justice de l’Union européenne portant sur l’étendue de la protection des bases de données dans le cadre d’une utilisation par un métamoteur de recherche dédié.
Après avoir rappelé les conditions de la protection juridique d’une base de données, nous verrons comment ces conditions ont été appliquées à l’utilisation d’un métamoteur de recherche dédié.
1. Les sites de petites annonces protégés par le droit des bases de données
Les sites de petites annonces constituent des bases de données, protégées juridiquement.
- La protection juridique des bases de données : un droit sui generis
La directive européenne du 11 mars 1996 a consacré un droit sui generis de la protection des bases des données, indépendant de la protection par le droit d’auteur, et essentiellement axé sur la protection des droits patrimoniaux du fabricant, ou producteur, de bases de données.
Considérant en effet que le développement d’une base de données implique généralement un investissement humain et financier conséquent, sa protection juridique permet au fabricant de limiter ou d’interdire toute extraction ou réutilisation non autorisée des données. L’utilisation de la base dans sa totalité ou une partie substantielle, ou de manière répétée et systématique (par exemple, liste d’abonnés aux pages jaunes, catalogue de produits d’un site de e-commerce ou liste de petites annonces), est soumise à l’autorisation (contrat de licence) de l’ayant-droit, accordée en principe contre rémunération.
En revanche, toutes les bases de données ne sont pas automatiquement protégées. Seules les bases de données dont la collecte de données, leur vérification ou la présentation du contenu attestent un investissement, qualitatif ou quantitatif, substantiel sont protégées juridiquement.
- Les notions d’extraction et de réutilisation des données
Concernant les bases de données protégées, la directive définit les notions d’extraction et de réutilisation comme suit :
“extraction” signifie “le transfert permanent ou temporaire de la totalité ou d'une partie substantielle du contenu d'une base de données sur un autre support par quelque moyen ou sous quelque forme que ce soit” ;
“réutilisation” signifie “toute forme de mise à la disposition du public de la totalité ou d'une partie substantielle du contenu de la base par distribution de copies, par location, par transmission en ligne ou sous d'autres formes (…)”
La directive précise ensuite que “l'extraction et/ou la réutilisation répétées et systématiques de parties non substantielles du contenu de la base de données qui supposeraient des actes contraires à une exploitation normale de cette base, ou qui causeraient un préjudice injustifié aux intérêts légitimes du fabricant de la base, ne sont pas autorisées.” (3)
A contrario, l’utilisation d’une base de donnés par un tiers à des fins de consultation ponctuelle par exemple, n’est pas considérée comme portant atteinte aux droits du producteur.
2. Les conditions d'une utilisation licite des bases de données par un métamoteur de recherche
- Les questions posées à la CJUE
Un site web proposant un métamoteur de recherche peut-il être utilisé, sans l’accord des fabricants des bases de données référencées, pour réutiliser du contenu d’une base de données accessible en ligne en procédant, en temps réel, à des recherches dans la totalité ou une partie substantielle du contenu de ces bases de données tierces ?
Si le métamoteur de recherche ne renvoie aux utilisateurs qu’une partie minime du contenu de la base de données tierce, ou la fait apparaître sur son site web selon sa propre présentation et que les actes de recherche sont répétés en permanence, une telle utilisation du métamoteur correspond-elle alors à une réutilisation répétée et systématique de parties non substantielles du contenu de la base de données, contraire aux intérêts du fabricant de la base ?
C’est en substance la problématique soulevée par la cour d’appel néerlandaise à la CJUE dans l’affaire opposant la société Innoweb à Wegener.
- Définition d’un métamoteur de recherche dédié
Dans un premier temps, la Cour définit en quoi consiste un métamoteur de recherche dédié, puis applique les critères établis par la directive afin de déterminer si l’utilisation des bases de données par ce type de métamoteur enfreint les droits des fabricants.
La Cour distingue entre les moteurs de recherche fonctionnant sur des algorithmes, tels que Google ou Yahoo et les métamoteurs de recherche dédiés. Concernant ce type de métamoteur, l’exploitant du service ne dispose pas d’un moteur de recherche propre mais a recours aux moteurs de recherche utilisés par les sites tiers, couverts par le service de recherche.
Le qualificatif “dédié” signifie que le métamoteur est spécialisé dans les recherches sur un ou plusieurs domaines déterminés (en l’espèce, la vente de voitures d’occasion), permettant, par une seule requête, d’étendre la recherche sur plusieurs sites tiers d’annonces. Le métamoteur de recherche dédié traduit “en temps réel” les requêtes des utilisateurs dans les différents moteurs de recherche des sites tiers, permettant de balayer les données de ces bases.
En l’espèce, le métamoteur du site gaspedaal.nl permet de procéder à des recherches dans les bases de données de vente de voitures selon plusieurs critères (marque, modèle, kilométrage, année et prix notamment). Les résultats obtenus sont agrégés, le site du métamoteur affichant les liens vers les annonces correspondant à la requête. En l’espèce, les données n’étaient pas extraites des bases couvertes par le métamoteur.
- Notion de réutilisation des contenus de la base de données
La Cour analyse ensuite la notion de réutilisation, au regard de la finalité définie dans la directive, en l’appliquant au métamoteur de recherche dédié.
Selon la Cour, la notion de réutilisation au sens de l’article 7 de la directive, “doit être interprétée comme se référant à tout acte consistant à mettre à la disposition du public, sans le consentement de la personne qui a constitué la base de données, les résultats de son investissement, privant ainsi cette dernière de revenus censés lui permettre d’amortir le coût de cet investissement”, peu importe la nature ou la forme du procédé utilisé.
L’activité de l’exploitant d’un métamoteur de recherche a pour objet de fournir aux internautes un dispositif permettant d’explorer toutes les données figurant dans des bases de données protégées, en accédant à l’intégralité du contenu des bases par d’autres voies que celles prévues par les fabricants de ces bases de données. Cette activité a notamment des conséquences financières pour les exploitants des bases de données. En effet, les internautes n’ont plus besoin de se rendre sur leurs sites pour faire leurs recherches, ni même pour accéder aux annonces (ou au moins, sans passer par la page d’accueil du site de petites annonces). Les revenus publicitaires des sites de petites annonces sont alors potentiellement affectés.
La Cour en conclut que l’exploitant d’un métamoteur de recherche dédié procède effectivement à une réutilisation du contenu d’une base de données, au sens de la directive. Cette réutilisation porte sur une partie substantielle, voire même sur la totalité, du contenu de la base concernée, dès lors que le métamoteur : i) fournit à l’utilisateur final un formulaire de recherche offrant les mêmes fonctionnalités que le formulaire de la base de données ; ii) traduit en temps réel les requêtes des utilisateurs finaux dans le moteur de recherche de la base de données, permettant ainsi d’explorer toutes les données de la base ; et iii) présente à l’utilisateur final les résultats sous l’apparence extérieure de son site internet en réunissant les doublons en un seul élément, mais dans un ordre fondé sur des critères comparables à ceux utilisés par le moteur de la base de données pour présenter ses résultats.
En conséquence, un site qui mettrait à la disposition des internautes un métamoteur de recherche dédié, sans avoir au préalable obtenu l’accord des exploitants des sites couverts par ce métamoteur (et quelque soit le domaine couvert par le métamoteur) doit respecter les critères suivants pour ne pas enfreindre les droits des fabricants des bases de données concernées :
- fournir un formulaire de recherche comprenant des fonctionnalités différentes de celles proposées par les formulaires des bases de données couvertes ;
- ne pas traduire en temps réel les requêtes des utilisateurs dans le moteur de recherche de la base de données afin de ne pas explorer toutes les données de cette base ; et
- ne pas présenter à l’utilisateur les résultats de recherche sous l’apparence extérieure de son site internet, en réunissant les doublons en un seul élément et dans un ordre fondé sur des critères comparables à ceux utilisés par le moteur de la base de données pour présenter ses résultats.
Ainsi, l’exploitant d’un métamoteur de recherche a deux solutions pour ne pas enfreindre les droits des fabricants des bases de données des sites couverts : soit obtenir l’accord de ces sites tiers pour interroger leurs bases de données et proposer les résultats obtenus en temps réel, selon un format similaire à celui utilisé par le/les sites d’annonces, soit exploiter le métamoteur sans l’accord des sites tiers, mais en respectant les critères définis par la CJUE, en acceptant le fait que ces contraintes techniques donneront des résultats certainement moins pertinents pour les utilisateurs.
* * * * * * * * * * *
(1) CJUE, 5ème chambre, décision du 19 décembre 2013, Innoweb BV, Wegener ICT Media BV, Wegener Mediaventions BV
(2) Directive 96/9/CE du Parlement européen et du Conseil du 11 mars 1996 concernant la protection juridique des bases de données, transposée en droit français aux articles L.341-1 et suivants du code de la propriété intellectuelle
(3) Article 7.2 et 7.3 de la directive
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Septembre 2015
Affichage des articles dont le libellé est annuaire. Afficher tous les articles
Affichage des articles dont le libellé est annuaire. Afficher tous les articles
vendredi 25 septembre 2015
mercredi 16 novembre 2011
La collecte de données personnelles sur les réseaux sociaux soumise à la loi Informatique et Libertés
Les informations personnelles mises en ligne par les utilisateurs des réseaux sociaux ont une réelle valeur économique, pour les annonceurs et les prestataires de services notamment. Toutefois, l’utilisation de ces données par des tiers n’est pas libre, alors même que ces informations sont visibles par tous. En effet, la collecte et le traitement de ces données doivent respecter les principes définis par la loi Informatique et Libertés. C’est ce qu’a rappelé la CNIL dans une délibération rendue le 21 septembre 2011, sanctionnant la société PagesJaunes pour avoir mis en oeuvre un traitement de données non conforme à la loi.(1)
1. Le traitement mis en oeuvre par la société PagesJaunes pour enrichir ses annuaires
Début 2010, la société PagesJaunes, éditrice des services d'annuaires Pages Jaunes et Pages Blanches sur internet, a déclaré à la CNIL un nouveau service en ligne mettant en oeuvre une fonctionnalité de "web crawl", visant à enrichir le contenu de ses annuaires et bases de données. Ainsi, courant 2010, la société PagesJaunes a, par le biais d'un logiciel de collecte automatique de données sur internet, récupéré les données d’utilisateurs inscrits sur plusieurs réseaux sociaux (photo, établissements scolaires, profession, employeur, etc.) pour compléter les informations disponibles sur le site des pages blanches (identité, coordonnées téléphoniques, adresse postale). La société a ainsi indexé sur son site près de 34 millions de profils communautaires, issus de 6 réseaux sociaux : Facebook, Twitter, Viadeo, LinkedIn, Trombi et Copains d'avant.
Saisie de plaintes de particuliers ne parvenant pas à faire valoir leur droit d'opposition à la réutilisation des données les concernant, la CNIL a ordonné une mission de contrôle sur place, dans les locaux de la société. Lors de ce contrôle, la CNIL a notamment pu constater les éléments suivants :
- Les informations personnelles "aspirées" puis mises en ligne par la société PagesJaunes étaient collectées sans que les utilisateurs des réseaux sociaux aient donné leur consentement ni même en aient été informés. En outre, la collecte pouvait concerner des données relatives à des mineurs et à des personnes inscrites sur la liste rouge téléphonique.
- Pour s'assurer que les données collectées ne correspondaient qu'à des personnes résidant en France, PagesJaunes procédait à un filtrage des pages issues des réseaux sociaux. Pour ce faire, la société extrayait de son annuaire les nom et prénoms de ses abonnés pour les conserver dans un fichier intermédiaire puis les croiser avec la base de données contenant les profils des réseaux sociaux.
- Les personnes ne souhaitant pas apparaître sur le site des Pages Blanches avaient la possibilité de s'y opposer, a posteriori, en remplissant un formulaire en ligne. Or, l'intéressé devait remplir autant de formulaires que de profils détenus sur les réseaux sociaux et toute demande d'opposition imprécise n’était pas traitée.
- Les suppressions demandées par les personnes exerçant leur droit d'opposition n’étaient pas définitives puisque leurs profils pouvaient de nouveau être indexés automatiquement par le logiciel des PagesJaunes, en cas de changement d’URL d’un profil par exemple.
- Enfin, les informations figurant sur le site des Pages Blanches, résultant de l'indexation de profils communautaires, n’étaient pas à jour, car non régulièrement actualisées par la société PagesJaunes.
La CNIL a donc considéré que les procédés de collecte et de traitement des données personnelles, mis en oeuvre par la société PagesJaunes, n’étaient pas conformes à la loi Informatique et Libertés. En outre, bien que la société ait suspendu le traitement litigieux de "web crawl" avant la délibération de la CNIL, la Commission a prononcé à son encontre un avertissement rendu public.
Quels sont les manquements à la loi Informatique et Libertés reprochés à la société PagesJaunes ?
2. Une collecte et un traitement de données à caractère personnel jugés non conformes à la loi Informatique et Liberté
2.1 Une collecte déloyale et illicite des données à caractère personnel
L'absence de consentement préalable des personnes concernées
La loi prévoit que le responsable d'un traitement de données doit mettre en oeuvre une collecte loyale, par l’obtention notamment du consentement de la personne dont les données sont collectées.(2)
En l'espèce, le procédé mis en oeuvre par la société PagesJaunes consistait à collecter de façon massive, répétitive et indifférenciée, les données personnelles des utilisateurs inscrits sur les réseaux sociaux, sans leur consentement préalable.
La société PagesJaunes soutenait que les internautes publiant volontairement des informations les concernant sur les réseaux sociaux, et ne restreignant pas l'accès à leur profil, consentaient implicitement à la réutilisation de ces informations par des tiers. Cet argument a été rejeté par la CNIL, qui relève notamment que la collecte litigieuse concernait des données de mineurs "rarement conscients de la portée de diffusion de telles informations", et de personnes inscrites sur la liste rouge téléphonique.
La CNIL a jugé que ce type de collecte était déloyal. La Commission confirme ainsi que le fait que ces informations personnelles soient librement accessibles sur internet n'autorise pas les tiers à les collecter sans l'accord préalable des personnes concernées.
L'absence d'information des personnes concernées
La loi prévoit que le responsable d'un traitement de données doit informer les personnes concernées par cette collecte et communiquer son identité, la finalité poursuivie par le traitement en cause, les destinataires des données, les droits dont bénéficient ces personnes à l’égard du traitement de données, le cas échéant, si les données seront exportées, etc.
En l'espèce, la société PagesJaunes ne fournissait pas ces informations. Pour justifier ce manquement, la société invoquait l'une des exceptions légales à l'obligation d'information, à savoir le fait que les personnes, dont les données étaient collectées puis publiées sur le site des Pages Blanches, avaient déjà été informées de la réutilisation de leurs données par le biais des conditions d'utilisation et de la politique de confidentialité des réseaux sociaux. Ces documents stipulent que les données à caractère personnel des utilisateurs peuvent être indexées par des moteurs de recherche.
La CNIL considère que les sites des PagesJaune ne sont pas des moteurs de recherche. L’activité d'édition d'annuaires consiste en l’exploitation de bases de données, et non dans "la mise en œuvre d’une application permettant de retrouver des ressources extérieures à celles enregistrées dans ses bases."
La collecte de données à caractère personnel sur les profils communautaires, à l'insu des personnes concernées, est donc déloyale et illicite.
2.2 Un traitement illicite de données personnelles
Le non-respect de la finalité déclarée du traitement
Un fichier de données personnelles ne peut être exploité à d'autres fins que celles initialement déclarées. La loi dispose ainsi qu'un traitement ne peut porter que sur des données collectées pour des finalités déterminées, explicites et légitimes. Les données ne peuvent être traitées ultérieurement de manière incompatible avec ces finalités.
En l'espèce, l’extraction des données des abonnés de l’annuaire Pages Blanches, à des fins de filtrage des profils des réseaux sociaux pour s'assurer que les données collectées ne correspondaient qu'à des personnes résidant en France n’avait pas de lien avec la finalité initialement déclarée pour le service des Pages Blanches.
La CNIL considère que ce procédé constitue un détournement de finalité et donc, un traitement illicite de données personnelles.
Le non-respect des droits des personnes concernées
La loi prévoit que les personnes concernées par un traitement de données à caractère personnel bénéficient des droits d'accès, de contestation, de rectification des données et d'opposition au traitement.
La CNIL a considéré que les procédures mises en oeuvre par la société PagesJaunes, afin que les personnes concernées puissent faire valoir leurs droits d'opposition et de rectification, étaient trop complexes et inefficaces : (i) la procédure de demande d'opposition était soumise à l’envoi d’un formulaire par profil. En outre, cette procédure ne garantissait pas que les données seraient définitivement supprimées (réindexation suite à une nouvelle collecte sur un profil modifié par exemple) ; (ii) Il appartenait aux intéressés de procéder directement aux modifications souhaitées sur leurs profils communautaires, du fait de leur indexation sur le site des Pages Blanches. Ces rectifications étaient souvent inopérantes, compte tenu de l'absence de mise à jour régulière des données issues des profils des réseaux sociaux.
Sur la base de ces divers manquements à la loi Informatique et Libertés, la CNIL a décidé d’émettre un avertissement public à l’encontre de la société PagesJaunes, sans pour autant aller jusqu’à demander l’application d’une sanction pécuniaire, la société ayant suspendu le traitement litigieux pendant la procédure.
Ce n'est pas la première fois que la CNIL se prononçait sur une affaire de collecte illicite par aspiration de données disponibles sur internet. En 2006, la Cour de cassation, confirmant la position de la CNIL, avait condamné le dirigeant d'une société à 3000€ d’amende, à la suite d’une collecte de données illicite, dont l’objectif était de constituer des fichiers de prospects. Cette société avait collecté des données personnelles au moyen d'un logiciel aspirant des informations sur internet, sans que les personnes concernées aient donné leur consentement, ni même en aient été informées. A ce titre, il convient de rappeler que toute personne réutilisant des données à caractère personnel en violation des dispositions de la loi Informatique et Libertés encourt des sanctions pénales pouvant aller jusqu’à 5 ans d'emprisonnement et 300.000€ d'amende.(4)
1. Le traitement mis en oeuvre par la société PagesJaunes pour enrichir ses annuaires
Début 2010, la société PagesJaunes, éditrice des services d'annuaires Pages Jaunes et Pages Blanches sur internet, a déclaré à la CNIL un nouveau service en ligne mettant en oeuvre une fonctionnalité de "web crawl", visant à enrichir le contenu de ses annuaires et bases de données. Ainsi, courant 2010, la société PagesJaunes a, par le biais d'un logiciel de collecte automatique de données sur internet, récupéré les données d’utilisateurs inscrits sur plusieurs réseaux sociaux (photo, établissements scolaires, profession, employeur, etc.) pour compléter les informations disponibles sur le site des pages blanches (identité, coordonnées téléphoniques, adresse postale). La société a ainsi indexé sur son site près de 34 millions de profils communautaires, issus de 6 réseaux sociaux : Facebook, Twitter, Viadeo, LinkedIn, Trombi et Copains d'avant.
Saisie de plaintes de particuliers ne parvenant pas à faire valoir leur droit d'opposition à la réutilisation des données les concernant, la CNIL a ordonné une mission de contrôle sur place, dans les locaux de la société. Lors de ce contrôle, la CNIL a notamment pu constater les éléments suivants :
- Les informations personnelles "aspirées" puis mises en ligne par la société PagesJaunes étaient collectées sans que les utilisateurs des réseaux sociaux aient donné leur consentement ni même en aient été informés. En outre, la collecte pouvait concerner des données relatives à des mineurs et à des personnes inscrites sur la liste rouge téléphonique.
- Pour s'assurer que les données collectées ne correspondaient qu'à des personnes résidant en France, PagesJaunes procédait à un filtrage des pages issues des réseaux sociaux. Pour ce faire, la société extrayait de son annuaire les nom et prénoms de ses abonnés pour les conserver dans un fichier intermédiaire puis les croiser avec la base de données contenant les profils des réseaux sociaux.
- Les personnes ne souhaitant pas apparaître sur le site des Pages Blanches avaient la possibilité de s'y opposer, a posteriori, en remplissant un formulaire en ligne. Or, l'intéressé devait remplir autant de formulaires que de profils détenus sur les réseaux sociaux et toute demande d'opposition imprécise n’était pas traitée.
- Les suppressions demandées par les personnes exerçant leur droit d'opposition n’étaient pas définitives puisque leurs profils pouvaient de nouveau être indexés automatiquement par le logiciel des PagesJaunes, en cas de changement d’URL d’un profil par exemple.
- Enfin, les informations figurant sur le site des Pages Blanches, résultant de l'indexation de profils communautaires, n’étaient pas à jour, car non régulièrement actualisées par la société PagesJaunes.
La CNIL a donc considéré que les procédés de collecte et de traitement des données personnelles, mis en oeuvre par la société PagesJaunes, n’étaient pas conformes à la loi Informatique et Libertés. En outre, bien que la société ait suspendu le traitement litigieux de "web crawl" avant la délibération de la CNIL, la Commission a prononcé à son encontre un avertissement rendu public.
Quels sont les manquements à la loi Informatique et Libertés reprochés à la société PagesJaunes ?
2. Une collecte et un traitement de données à caractère personnel jugés non conformes à la loi Informatique et Liberté
2.1 Une collecte déloyale et illicite des données à caractère personnel
L'absence de consentement préalable des personnes concernées
La loi prévoit que le responsable d'un traitement de données doit mettre en oeuvre une collecte loyale, par l’obtention notamment du consentement de la personne dont les données sont collectées.(2)
En l'espèce, le procédé mis en oeuvre par la société PagesJaunes consistait à collecter de façon massive, répétitive et indifférenciée, les données personnelles des utilisateurs inscrits sur les réseaux sociaux, sans leur consentement préalable.
La société PagesJaunes soutenait que les internautes publiant volontairement des informations les concernant sur les réseaux sociaux, et ne restreignant pas l'accès à leur profil, consentaient implicitement à la réutilisation de ces informations par des tiers. Cet argument a été rejeté par la CNIL, qui relève notamment que la collecte litigieuse concernait des données de mineurs "rarement conscients de la portée de diffusion de telles informations", et de personnes inscrites sur la liste rouge téléphonique.
La CNIL a jugé que ce type de collecte était déloyal. La Commission confirme ainsi que le fait que ces informations personnelles soient librement accessibles sur internet n'autorise pas les tiers à les collecter sans l'accord préalable des personnes concernées.
L'absence d'information des personnes concernées
La loi prévoit que le responsable d'un traitement de données doit informer les personnes concernées par cette collecte et communiquer son identité, la finalité poursuivie par le traitement en cause, les destinataires des données, les droits dont bénéficient ces personnes à l’égard du traitement de données, le cas échéant, si les données seront exportées, etc.
En l'espèce, la société PagesJaunes ne fournissait pas ces informations. Pour justifier ce manquement, la société invoquait l'une des exceptions légales à l'obligation d'information, à savoir le fait que les personnes, dont les données étaient collectées puis publiées sur le site des Pages Blanches, avaient déjà été informées de la réutilisation de leurs données par le biais des conditions d'utilisation et de la politique de confidentialité des réseaux sociaux. Ces documents stipulent que les données à caractère personnel des utilisateurs peuvent être indexées par des moteurs de recherche.
La CNIL considère que les sites des PagesJaune ne sont pas des moteurs de recherche. L’activité d'édition d'annuaires consiste en l’exploitation de bases de données, et non dans "la mise en œuvre d’une application permettant de retrouver des ressources extérieures à celles enregistrées dans ses bases."
La collecte de données à caractère personnel sur les profils communautaires, à l'insu des personnes concernées, est donc déloyale et illicite.
2.2 Un traitement illicite de données personnelles
Le non-respect de la finalité déclarée du traitement
Un fichier de données personnelles ne peut être exploité à d'autres fins que celles initialement déclarées. La loi dispose ainsi qu'un traitement ne peut porter que sur des données collectées pour des finalités déterminées, explicites et légitimes. Les données ne peuvent être traitées ultérieurement de manière incompatible avec ces finalités.
En l'espèce, l’extraction des données des abonnés de l’annuaire Pages Blanches, à des fins de filtrage des profils des réseaux sociaux pour s'assurer que les données collectées ne correspondaient qu'à des personnes résidant en France n’avait pas de lien avec la finalité initialement déclarée pour le service des Pages Blanches.
La CNIL considère que ce procédé constitue un détournement de finalité et donc, un traitement illicite de données personnelles.
Le non-respect des droits des personnes concernées
La loi prévoit que les personnes concernées par un traitement de données à caractère personnel bénéficient des droits d'accès, de contestation, de rectification des données et d'opposition au traitement.
La CNIL a considéré que les procédures mises en oeuvre par la société PagesJaunes, afin que les personnes concernées puissent faire valoir leurs droits d'opposition et de rectification, étaient trop complexes et inefficaces : (i) la procédure de demande d'opposition était soumise à l’envoi d’un formulaire par profil. En outre, cette procédure ne garantissait pas que les données seraient définitivement supprimées (réindexation suite à une nouvelle collecte sur un profil modifié par exemple) ; (ii) Il appartenait aux intéressés de procéder directement aux modifications souhaitées sur leurs profils communautaires, du fait de leur indexation sur le site des Pages Blanches. Ces rectifications étaient souvent inopérantes, compte tenu de l'absence de mise à jour régulière des données issues des profils des réseaux sociaux.
Sur la base de ces divers manquements à la loi Informatique et Libertés, la CNIL a décidé d’émettre un avertissement public à l’encontre de la société PagesJaunes, sans pour autant aller jusqu’à demander l’application d’une sanction pécuniaire, la société ayant suspendu le traitement litigieux pendant la procédure.
Ce n'est pas la première fois que la CNIL se prononçait sur une affaire de collecte illicite par aspiration de données disponibles sur internet. En 2006, la Cour de cassation, confirmant la position de la CNIL, avait condamné le dirigeant d'une société à 3000€ d’amende, à la suite d’une collecte de données illicite, dont l’objectif était de constituer des fichiers de prospects. Cette société avait collecté des données personnelles au moyen d'un logiciel aspirant des informations sur internet, sans que les personnes concernées aient donné leur consentement, ni même en aient été informées. A ce titre, il convient de rappeler que toute personne réutilisant des données à caractère personnel en violation des dispositions de la loi Informatique et Libertés encourt des sanctions pénales pouvant aller jusqu’à 5 ans d'emprisonnement et 300.000€ d'amende.(4)
* * * * * * * * * * *
(1) Délibération de la formation restreinte de la CNIL n°2011-203 du 21 septembre 2011 portant avertissement à l'encontre de la société PagesJaunes et Loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.
(2) Voir articles 6 (1°) et 32 de la loi Informatique et Libertés relatifs à la collecte loyale et à l'information des personnes concernées. Par ailleurs, le responsable de traitement est défini à l'article 3 de la loi comme étant la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement. Enfin, l'article 7 dispose qu’”un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée (...)".
(3) Voir articles 6 (2°) et 38 à 40 de la loi Informatique et Libertés. De même, l'article 6 (4°) dispose que les données personnelles doivent être exactes et, si nécessaire, mises à jour ; il incombe au responsable du traitement de prendre les mesures appropriées pour que les données inexactes au regard des finalités pour lesquelles elles sont collectées ou traitées, soient rectifiées.
(4) Cass. crim., 14 mars 2006, n°05-83.423 et articles 226-16 et s. du Code pénal.
Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Novembre 2011
Inscription à :
Articles (Atom)