Rappel à l’ordre de sites de rencontres concernant le traitement de données dites « sensibles »
Dans le cadre de sa campagne de contrôle de 2014, la Commission nationale de l’informatique et des libertés (CNIL) a inspecté plusieurs réseaux sociaux de rencontres en ligne parmi les plus importants du marché.
Cela l’a amenée, le 24 juin 2015, à mettre en demeure huit sociétés exploitantes des sites de se conformer à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés dite « Loi informatique et libertés » (communiqué du 28 juillet 2015). En effet, lors de ses inspections, la CNIL a constaté que ces sites Internet ne respectaient pas les obligations leur incombant en matière de protection des données à caractère personnel dites « sensibles« .
Sur de tels sites, afin de permettre aux utilisateurs de rechercher le partenaire avec lequel ils auront le plus d’affinités, les profils personnels contiennent des rubriques permettant aux membres du site d’exprimer leur appartenance religieuse, leurs opinions politiques voire leurs pratiques sexuelles. Ce qui constitue des données sensibles, à la lettre de l’article 8 de la loi Informatique et Liberté, c’est-à-dire des données qui expriment « directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci« . Dans ce cadre, alors que le traitement de données personnelles telles que le nom, le prénom ou l’adresse e-mail est autorisé à la condition de respecter les principes de loyauté, de licéité et de proportionnalité, le traitement de données sensibles est par principe interdit.
Les sites auraient donc dû s’abstenir de collecter de telles données, sauf à obtenir le consentement exprès de la personne concernée par le traitement. Ce consentement doit être obtenu selon des règles rigoureuses. Ainsi, le simple fait de remplir les rubriques sensibles du profil ne saurait valoir consentement du titulaire du compte à la collecte et au traitement de ces données sensibles. La loi exige un consentement explicite, recueilli concomitamment à l’insertion de ces données dans le profil.
Pour remédier à ce manquement, la CNIL recommande aux sites l’usage d’une case à cocher, qui devra être activée au moment de la confirmation de l’enregistrement des données sensibles. Reste à ces sites de rencontres à se mettre en conformité, faute de quoi, ils encourent une amende pouvant atteindre 1.500.000€, sur le fondement des articles 226-19 et 226-24 du Code pénal.
L’Autorité reproche également aux opérateurs de ne pas suffisamment informer les internautes sur l’utilisation ultérieure des données et sur leurs droits à cet égard. En effet, les sites en cause ne font pas mention du droit d’opposition, de rectification et de suppression des données, alors que ce manquement est punissable d’une amende pouvant atteindre 7.500 € en application des articles R.131-41 et R.625-10 du Code pénal.
Enfin, la CNIL relève que les sites ne respectent pas la durée de conservation des données prévue par leurs conditions générales d’utilisation (CGU). A titre d’exemple, l’un des sites Internet contrôlés a conservé jusqu’en 2014 des données sensibles d’un profil pourtant supprimé en 2009. Or, sur le fondement de l’article 6 de la loi informatique et libertés, la conservation ne doit pas excéder la durée nécessaire à la réalisation de la finalité pour laquelle la donnée a été collectée ou traitée. Ces violations font encourir aux sites concernés une amende de 1.500.000 € en vertu des articles 226-20 et 226-24 du Code pénal.
Les sites ont trois mois à compter de la notification de la mise en demeure pour se mettre en conformité avec ces prescriptions. A défaut de réaction de leur part, la CNIL indique que les sanctions pénales prévues seront appliquées. Par ailleurs, afin de faire pression sur les contrevenants, la Commission a choisi de publier les mises en demeure. C’est aussi l’occasion de sensibiliser les internautes sur l’impact que peut avoir le partage de telles données sensibles, si elles sont cédées ou récupérées par des tiers malveillants.
Auteur
Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.