« Vous n’aimez pas vos imperfections ? Quelqu’un les aimera pour vous ». Visiblement les imperfections du site de rencontre Meetic, malgré son slogan, n’ont pas été plus appréciées que cela par la commission nationale de l’informatique et des libertés (CNIL). En effet, le 15 décembre dernier, les deux sociétés propriétaires des sites de rencontres Meetic et Attractive World ont toutes les deux été sanctionnées par la commission. L’analyse de ces décisions pourra apporter un éclaircissement sur la conciliation nécessaire de deux principes. Le premier est l’émergence des nouveaux supports avec l’influence des réseaux sociaux, avec la croissance des nouvelles applications mobiles ou encore avec l’enthousiasme des sites de rencontre. Le second, l’impératif de protection des données à caractère personnel des utilisateurs de ces structures.
Le motif de ces sanctions : les manquements face aux données sensibles des utilisateurs
Après la mise en demeure de ces sociétés par la CNIL, le 24 juin 2015, du fait de plusieurs manquements constatés, la commission a décidé de sanctionner pécuniairement la société SAMAHDI SAS à hauteur de 10 000 euros et MEETIC SAS à hauteur de 20 000 euros. Malgré les efforts des sociétés, pour mettre en conformité leurs sites internet avec la législation, une des conditions n’a pas été respectée. En effet, il a été estimé que ces deux sociétés n’avaient pas recueilli le consentement exprès de leurs utilisateurs face à la collecte de certaines informations.
Pour la première société, il s’agissait de données relatives à l’âge, à l’acceptation des conditions générales de vente et l’orientation sexuelle, tandis que pour la seconde société, il s’agissait de données relatives également à l’orientation sexuelle, mais aussi à l’origine raciale ou ethnique. Pourtant, en vertu de l’article 8 de la loi du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés : « la collecte ou le traitement de données personnelles de certaines données, telles que les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle, sont interdites ».
Cependant, cet article prévoit une exception à cette interdiction, à savoir que la personne visée ait donnée son consentement exprès. En l’espèce, pour recueillir ces données dites sensibles, les sociétés n’avaient mis à disposition que des cases à cocher pour les utilisateurs, ce qui n’a pas été considéré comme un consentement exprès par la commission.
Deux décisions aux apparences sévères pour les sociétés
La société propriétaire du site de rencontre Attractive World, le définit comme : « le site de rencontre haut de gamme pour célibataires exigeants ». La société considérait que ces informations étaient nécessaires à son bon fonctionnement et estimait qu’elle avait rempli ses obligations aux regards de la loi de 1978. On pourrait penser qu’après s’être mises en conformité après tous les manquements constatés, ces deux sanctions paraissent sévères pour les sociétés. Ce n’est pas comme si elles avaient collecté ces informations à l’insu des utilisateurs, puisque des cases à cocher étaient mises en place pour récupérer des données. Ce qui leur est reproché, c’est de ne pas avoir averti du caractère sensible de ces données et de ne pas avoir expressément demandé l’autorisation de leurs utilisations, auprès des internautes.
Par ailleurs, aujourd’hui, les sites de rencontre, au même titre que les réseaux sociaux et les diverses applications mobiles disponibles, sont suffisamment présents dans la société. Certains pourraient alors penser, que le fait d’avertir du danger de l’utilisation de ces données n’est plus utile, puisque la plupart des utilisateurs savent à quoi s’en tenir. Il est alors nécessaire de s’intéresser plus précisément à la notion de consentement exprès.
Le nouveau règlement européen en matière de données personnelles du 27 avril 2016 apporte une réponse claire en définissant l’expression du consentement. Les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. De plus, il est précisé que la charge de la preuve du consentement incombe au responsable de traitement et que la matérialisation de ce consentement doit être non ambigüe.
Concrètement, pour collecter ce type de données, il aurait fallut mettre à disposition un texte informatif. Par exemple, la société Toodate.com, comme d’autres sociétés, avait été mise en demeure par la CNIL face aux mêmes manquements sur les sites de rencontre celibest.com et celibparis.com. Pourtant, dans des courriers de réponse reçus les 15 octobre 2015 et 14 janvier 2016, la société répond qu’elle s’est mise en conformité avec la loi de 1978 en insérant des mentions d’informations complètes sur tous les formulaires de collecte de données, de manière à recueillir le consentement exprès, tout en maintenant une case à cocher spécifique. Ce qui a été considéré par la présidente de la CNIL comme une mise en conformité avec la loi relative à l’informatique, aux fichiers et aux libertés.
Malgré la sensible sévérité de ces décisions vis-à-vis des sociétés, elles ne peuvent pas être considérées comme injustes, puisque les sociétés avaient été prévenues des manquements et, comme d’autres sites de rencontre, elles avaient été informées de la nécessité de sensibiliser davantage les internautes. Ces décisions ne peuvent pas non plus être considérées comme disproportionnées au vu de l’importance donnée à la protection des données personnelles.
Deux décisions protectrices des données personnelles face au phénomène de leur patrimonialisation :
Alors que les données personnelles représentent désormais un marché colossal en étant les matières premières de sociétés telles que Google, Apple, Facebook, Amazon et autres, la nécessité de leur protection est devenue essentielle. Ces deux décisions se placent alors dans la lignée des intentions européennes et françaises en matière de protection accrue des données personnelles.
D’une part, au niveau interne, il y a une volonté du législateur de redonner le contrôle des données personnelles aux personnes qui les ont cédées. Cela se traduit par l’article 54 de la loi pour une République numérique du 7 octobre 2016. Cet article a rajouté un alinéa dans le premier article de la fameuse loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Celui-ci dispose : « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ».
D’autre part, au niveau européen, la vigilance prend plus d’ampleur avec l’adoption du règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, du 27 avril 2016. Alors qu’il ne sera applicable qu’à partir de mai 2018, de nouvelles conditions sont intervenues pour mettre en garde les personnes cédant leurs données personnelles. C’est le cas de l’article 12, qui dispose : « Le responsable du traitement prend des mesures appropriées pour fournir toute information (…) en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples (…) ».
Ainsi, les sociétés propriétaires de telles plateformes ont tout intérêt à accroitre leur vigilance, puisque la sévérité de la CNIL vis-à-vis des protections de ces données ne risque pas de diminuer.
Sources :
FAGOT (V.), « Les sites de rencontres Meetic et Attractive World sanctionnés par la CNIL », Le Monde, chroniques des (r)évolutions numériques, 2 janvier 2017, consulté le 6 janvier 2017, <http://www.lemonde.fr/pixels/article/2017/01/02/les-sites-de-rencontres-meetic-et-attractive-world-sanctionnes-par-la-cnil_5056494_4408996.html utm_medium=Social&utm_campaign=Echobox&utm_source=Twitter&utm_term=Autofeed#link_time=1483353908>
ANONYME, « Sites de rencontre : deux sociétés sanctionnées pour défaut de consentement exprès », 29 décembre 2016, consulté le 6 janvier 2017, <https://www.cnil.fr/fr/sites-de-rencontre-deux-societes-sanctionnees-pour-defaut-de-consentement-expres>
ANONYME, « Sites de rencontre : clôture de la mise en demeure à l’encontre de la société », 4 avril 2016, consulté le 20 janvier 2017,<https://www.cnil.fr/fr/sites-de-rencontre-cloture-de-la-mise-en-demeure-lencontre-de-la-societe-toodatecom>
ANONYME, « Motivation des délibérations de la CNIL autorisant le traitement de données sensibles – Conseil d’Etat 26 mai 2014 », AJDA, 2014, n° 354903, p. 1863, consulté le 20 janvier 2017, <http://www.dalloz.fr.lama.univ-amu.fr/documentation/Document?id=AJDA/JURIS/2014/2006&ctxt=0_YSR0MT1kb25uw6llcyBzZW5zaWJsZXPCp2QkblRleHRlMj02QjEyMUZDQsKndCRzMD1GOUE2NTNBMMKneCRzZj1wYWdlLXJlY2hlcmNoZQ==&ctxtl=0_cyRwYWdlTnVtPTHCp3MkdHJpZGF0ZT1GYWxzZcKncyRzb3J0PcKncyRzbE5iUGFnPTIwwqdzJGlzYWJvPVRydWXCp3MkcGFnaW5nPVRydWXCp3Mkb25nbGV0PcKncyRmcmVlc2NvcGU9RmFsc2U=&nrf=0_UmVjaGVyY2hlfExpc3Rl>