Délibération 2011-035 du 17 mars 2011

Délibération n°2011-035 du 17 mars 2011 de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société X

La Commission nationale de l'informatique et des libertés, réunie en sa formation restreinte sous la présidence de M. Alex TÜRK ;

Etant aussi présents M. Emmanuel de GIVRY, vice-président délégué, Mme Isabelle FALQUE-PIERROTIN, vice-présidente, Mme Claire DAVAL, M. Sébastien HUYGHE et M. Jean-Marie COTTERET, membres ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, et notamment son article 1er ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;

Vu la délibération n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la délibération n° 2010-216 adoptée en urgence par le bureau de la Commission le 26 mai 2010, adressant une mise en demeure à la société X ;

Vu les décisions n° 2009-231C du 4 décembre 2009 et n° 2010-140C du 17 mai 2010 du président de la Commission de procéder à la vérification sur place de la conformité aux dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée du dispositif [...] mis en œuvre par la société X, représentée en France par la société Y ;

Vu le rapport de M. Philippe GOSSELIN, commissaire rapporteur, notifié à la société X par courrier en date du 28 octobre 2010, reçu le 1er novembre 2010, dont copie a également été notifiée à la société Y par courrier en date du 28 octobre 2010, reçu le 29 octobre 2010 ;

Vu les observations en réponse de cette dernière, en date du 28 décembre 2010 ;

Vu les autres pièces du dossier ;

Après avoir entendu, lors de sa réunion du jeudi 6 janvier 2011 :

- M. Philippe GOSSELIN, commissaire, en son rapport ;

- M. A, responsable de la protection des données personnelles de la société X, M. B, directeur des relations institutionnelles, M. C, responsable juridique, M. D, de la société Y, et Maître E, avocate, leur conseil ;

Mme Elisabeth ROLIN, commissaire du Gouvernement, n'ayant pas entendu formuler d'observations ;

Les représentants de la société mise en cause ayant pris la parole en dernier.

I. RAPPEL DES FAITS

1. Présentation de la société X et des services offerts

La société X (ci-après, la "société") a pour principale activité la recherche d'informations sur internet, le développement de services sur internet et la publicité en ligne.

Elle a notamment développé des outils de recherche géographique reposant sur des photographies satellites ou aériennes, ainsi que sur des photographies prises dans les voies et lieux publics. Elle a ajouté à ces outils cartographiques des fonctionnalités supplémentaires, telles la géolocalisation, qui permet de déterminer la position d'un utilisateur du service.

La société a tout d'abord lancé, en 2004, le service en ligne [...], qui permet de visualiser en ligne une zone géographique, aussi bien à l'échelle d'un pays qu'à l'échelle d'une rue. Les cartes proposées sont issues à la fois de données cartographiques classiques (frontière, rue, autoroute, etc.) et d'images satellites ou aériennes très précises. Ce service a été étendu à la France en avril 2006.

En 2007, elle a intégré au service [...] le service [...] offrant ainsi aux internautes une vue panoramique des rues à 360° horizontalement et 290° verticalement. Les images affichées sont réalisées à partir de photographies collectées par la société X dans le monde entier, au moyen de véhicules équipés d'appareils photo numériques et mises bout à bout. Ces véhicules sont usuellement désignés sous le terme de [...].

La société Y a annoncé l'extension du service [...] au territoire français en juin 2008. Elle a déclaré le traitement ayant pour finalité la mise à disposition du service internet [...] auprès de la Commission nationale de l'informatique et des libertés (ci-après la "CNIL" ou la "Commission") le 1er juillet 2008, pour le compte de la société X (déclaration n° 1303459).

En février 2009, la société X a ajouté à la fonctionnalité mobile du service [...] le service de géolocalisation [...]. Ce nouveau service permet à l'utilisateur, dès lors qu'il dispose à la fois d'un compte [...] et de l'application [...] installée sur son téléphone évolué ( smartphone ), d'afficher sa position et d'indiquer ainsi à ses proches où il se trouve en temps réel ; il permet également, à l'inverse, de géolocaliser ses amis ou sa famille sur une carte ou une liste, dès lors que ceux-ci disposent du même équipement.

Le fonctionnement de l'ensemble des services de géolocalisation par les réseaux Wi-Fi ou GSM que propose la société (y compris [...]) repose sur la constitution et la mise à jour d'une base de données commune, dénommée base [...].

La société a créé cette base de données par étapes successives. Une étape essentielle de son développement initial a consisté en la collecte massive de signaux radios (GSM et Wi-Fi) associés à des positions GPS par les [...], dans le cadre du programme [...]. Aujourd'hui, l'enrichissement et la mise à jour de la base procède essentiellement de la collecte des données captées et transmises de manière récurrente par les utilisateurs connectés à ce service via leurs téléphones et terminaux mobiles, c'est-à-dire les adresses MAC et les identifiants SSID des points d'accès Wi-Fi se trouvant à proximité de ceux-ci. L'enregistrement des données provenant de ces terminaux permet d'actualiser en permanence les informations figurant dans la base [...]. C'est cette collecte permanente de données, opérée par l'intermédiaire des terminaux mobiles des utilisateurs, qui permet ainsi à la société d'optimiser les services de géolocalisation par les réseaux qu'elle offre à ses clients.

2. Les échanges entre la CNIL et Y concernant le service [...] (février 2009 - avril 2010)

En février 2009, X a annoncé le lancement de [...] dans 27 pays, dont la France.

A la suite d'échanges entre la CNIL et la société Y sur le fonctionnement de [...], notamment lors d'une réunion tenue à la CNIL le 6 février 2009 puis lors d'échanges par courriel, le président de la CNIL a adressé un courrier à la société, le 14 mai 2009, indiquant qu'elle considérait ce service comme reposant sur des traitements de données à caractère personnel soumis à la loi du 6 janvier 1978 modifiée et qu'à ce titre, conformément à l'article 22 de cette même loi, ceux-ci devaient faire l'objet d'une déclaration auprès de ses services.

La société a contesté cette analyse dans un courrier en réponse daté du 3 août 2009, estimant que ces traitements n'étaient pas soumis à la loi française, la collecte des données concernées n'étant selon elle pas réalisée par des moyens de traitement situés sur le territoire français. Elle a par conséquent refusé de déclarer [...] auprès de la CNIL.

Par un courrier daté du 29 octobre 2009, reçu à la Commission le 21 décembre 2009, la société Y a informé la CNIL de son souhait de désigner un correspondant à la protection des données à caractère personnel. La désignation a pris effet le 29 janvier 2010.

Les services de la CNIL ont de nouveau interrogé Y sur les modalités de collecte des données utilisées dans le cadre du service [...], par un courriel en date du 8 janvier 2010.

Dans son courriel de réponse en date du 8 février 2010, la société a indiqué que la base de données de géolocalisation sur laquelle repose son service (la base [...]) a été constituée en trois étapes successives, à savoir :

- Initialement avec les informations contenues dans les requêtes des utilisateurs de [...] en utilisant le cell ID [l'identifiant de l'antenne GSM] et le centre de la carte affichée, en se fondant sur l'hypothèse selon laquelle, statistiquement, le terminal se trouve aux environs de celle-ci ;

- En second lieu, les informations GPS et Wi-Fi ont été ajoutées lorsqu'elles se trouvent incluses dans les requêtes des utilisateurs de [...] ;

- Enfin, les voitures [...] ont été utilisées pour alimenter la base de données en utilisant GPS et signaux radio.

Au vu de cette réponse, le président de la CNIL a informé la société, par un courrier en date 20 avril 2010, que la Commission maintenait son interprétation selon laquelle [...] requiert le déploiement de moyens de traitement sur le territoire français, à l'instar du service [...], et qu'en conséquence ce service devait faire l'objet de formalités préalables en France.

3. Les premiers contrôles opérés par la CNIL

Les services de la CNIL ont procédé à un contrôle sur place le 11 décembre 2009 auprès de la société Y, représentant la société X, afin de vérifier la conformité du service [...] aux dispositions de la loi du 6 janvier 1978 modifiée.

Lors de ce contrôle, la société a présenté les moyens techniques mis en œuvre pour enregistrer les photographies collectées par les [...]. Les services de contrôle ont constaté que ces véhicules étaient équipés de plusieurs appareils photo numériques, ainsi que d'un dispositif enregistrant des données GPS.

Il a été demandé à la société d'indiquer à la CNIL, sous cinq jours, si les véhicules utilisés collectaient d'autres informations techniques en dehors des données GPS et des photographies. Il ressort des échanges subséquents avec la société que la CNIL n'a pas obtenu de précisions sur ce point dans le délai imparti.

Comme convenu avec la société lors du contrôle sur place effectué le 11 décembre 2009, la Commission a procédé à une nouvelle mission de contrôle auprès de la société le 18 janvier 2010, afin d'examiner un véhicule dit [...] en état de marche.

La délégation de contrôle a constaté la présence de plusieurs dispositifs de collecte de données sur le toit du véhicule, ainsi que d'une clef Wi-Fi dans le coffre du véhicule, permettant de capter et d'enregistrer des signaux Wi-Fi. Elle n'a toutefois pas pu déterminer la nature précise des données enregistrées par le dispositif car le véhicule présenté à la délégation ne comportait aucun disque dur de collecte.

La délégation de contrôle a donc réitéré la demande préalablement formulée concernant la nature des données collectées et demandé que la finalité de la collecte des signaux Wi-Fi lui soit précisée. La société s'est engagée à répondre à la Commission dans un délai de 5 jours ouvrés sur ces deux points, ainsi que sur diverses autres questions restant en suspens, cet engagement figurant au procès-verbal de contrôle.

Par un courrier du 28 janvier 2010, transmis par la société Y, la société X a indiqué à la Commission que :

- les véhicules sont équipés de dispositifs GPS pour suivre leur positionnement et permettre ainsi d'associer cette information aux images collectées ;

- ils contiennent par ailleurs des équipements laser afin d'aider à mesurer les distances entre les objets, ainsi qu'un dispositif permettant de se connecter aux réseaux sans fil (Wi-Fi) et d'identifier ceux-ci ;

- les informations concernant ces réseaux sans fil peuvent être utilisées par les utilisateurs ayant activé les services de géolocalisation disponibles sur certains produits (ex : [...]) afin de faciliter la fourniture d'informations locales pertinentes pour l'utilisateur.

Par un courrier du 9 février 2010, la CNIL a interrogé la société de manière plus précise sur la nature des données collectées via le dispositif permettant aux véhicules de se connecter aux réseaux sans fil (Wi-Fi) et d'identifier ceux-ci.

A cette question, la société a répondu, le 25 février 2010, que cette collecte ne concernait que les identifiants des réseaux Wi-Fi (identifiants SSID) ainsi que les adresses MAC des routeurs Wi-Fi, collectés dans le cadre de ses services de géolocalisation.

Le 27 avril 2010, la société X a publié sur son blog un communiqué destiné à répondre aux interrogations relayées par la presse internationale concernant les informations enregistrées par ses [...], indiquant que les réseaux [Wi-Fi] envoient des informations aux autres ordinateurs du réseau, appelées données de contenu de communications, mais X ne collecte ni ne conserve de telles données. Ce même jour, la société Y a confirmé à la CNIL par courriel que la collecte, par ses véhicules, de données Wi-Fi destinées à ses services de localisation ne concerne aucunement les données de contenu des communications.

Toutefois, 14 mai 2010, la société a publié un communiqué de presse reconnaissant la collecte de données de contenu. Cette collecte, qualifiée d'involontaire, serait la conséquence d'une erreur de programmation du code source du logiciel de collecte (c'est-à-dire de l'ensemble des lignes de programmation qui assurent le fonctionnement de ce logiciel), commise en 2006. L'installation de ce logiciel dans les [...] aurait permis d'enregistrer des fragments de données de contenu de communication à compter de la mise en circulation des véhicules en 2007.

Suite à ces révélations, au vu de la gravité des faits révélés et de l'urgence à agir, la Commission a procédé à un nouveau contrôle sur place dès le 19 mai 2010 auprès de la société Y, représentant la société X Ce contrôle visait à constater la nature des données effectivement collectées par les [...] sur le territoire français ainsi que les mesures prises par la société à la suite de ces révélations.

Outre la clef Wi-Fi installée dans le coffre et les dispositifs de collecte figurant sur le toit, le véhicule examiné lors de ce contrôle contenait bien un disque dur de collecte enregistrant les données captées, contrairement au véhicule examiné lors du contrôle du 18 janvier 2010. La société a par ailleurs indiqué que ces véhicules ne procèderaient désormais plus à la collecte de données relatives aux données Wi-Fi, et qu'elle attendait l'accord des autorités de protection des données nationales pour procéder à l'effacement des données, et en particulier de la CNIL en ce qui concerne les données collectées en France.

Au terme du contrôle, la délégation a demandé que soient communiquées à la CNIL des informations techniques concernant la collecte des données Wi-Fi ainsi que des copies sur support informatique, en particulier une copie intégrale des données de contenu issues des bornes Wi-Fi pour la France, et ce, dans un délai de 3 jours ouvrés.

Les demandes d'informations visées par le procès-verbal étaient les suivantes :

- Quels sont les critères qui ont permis d'isoler les données collectées relatives aux contenus issus des bornes Wi-Fi ( payload data ) ?

- Des données de contenu issues de bornes Wi-Fi sécurisées ont-elles été collectées ? Si oui, quelles sont les conditions de leur traitement ?

Les demandes de copies informatiques étaient les suivantes :

- Le dernier disque dur envoyé aux Etats-Unis issu d'une opération de collecte effectuée par un véhicule [...] en France ;

- Le code du programme informatique utilisé au sein des véhicules jusqu'à la date du 14 mai 2010, en identifiant la partie du code ayant conduit à collecter les données relatives au contenu issues des bornes Wi-Fi ( payload data ) ;

- Les données relatives au contenu issues des bornes Wi-Fi pour la France, isolées par X;

- Le nouveau code dorénavant utilisé par la société dans le cadre de la collecte effectuée par les véhicules [...] (délai de transmission : dès validation du code) ;

- L'audit réalisé à la demande de X, tel qu'annoncé dans son communiqué de presse en date du 14 mai 2010.

Par un courriel du 21 mai 2010, la société Y a informé la Commission que les demandes précitées avaient été transmises à la société X Elle a indiqué par ailleurs qu'il serait très probablement impossible de respecter les délais souhaités s'agissant des copies informatiques demandées, en raison de la localisation de ces éléments aux Etats-Unis et des demandes similaires émanant de diverses autorités européennes de protection des données.

Au terme du contrôle, les services de contrôle ont également demandé à ce que la CNIL soit informée de la reprise éventuelle des opérations de collecte par les véhicules [...] en France, afin qu'elle assiste à cette reprise et prenne copie des données alors enregistrées.

4. La mise en demeure adressée à la société X par la CNIL le 26 mai 2010 et les réponses de la société

Constatant l'absence de communication des copies informatiques visées par le procès-verbal de contrôle du 19 mai 2010 dans le délai imparti, le bureau de la Commission a adressé une mise en demeure à la société le 26 mai 2010 sur le fondement de l'urgence (délibération n°2010-216 du 26 mai 2010). Cette délibération a été notifiée à la société X par courrier recommandé daté du 27 mai 2010, avec accusé de réception le 07 juin 2010. Elle a également été notifiée le 28 mai 2010 en mains propres à la société Y, représentant la société X en France.

Cette mise en demeure a été adoptée sur le fondement de l'urgence, eu égard à la gravité des faits, au nombre important de personnes concernées ainsi qu'à la nature des données traitées. Le bureau de la Commission a notamment relevé, à cet égard, que les données collectées par la société, telles qu'issues de bornes Wi-Fi, étaient susceptibles de contenir des informations sur les sites internet consultés par les personnes concernées, sur le contenu des messages échangés ainsi que sur les identifiants et les mots de passe permettant de se connecter à certains sites, et ce depuis plusieurs années, et que cette collecte était de nature à constituer une atteinte grave aux droits et libertés protégés par l'article 1er de la loi du 6 janvier 1978 modifiée, en particulier à la vie privée, au secret des correspondances et à la liberté d'expression.

Cette délibération du bureau de la Commission mettait ainsi la société en demeure, sous un délai de sept jours à compter de sa notification, de :

- Procéder aux formalités prévues au Chapitre IV de la loi du 6 janvier 1978 précitée pour le traitement [...] ;

- Cesser toute collecte de données à l'insu des personnes concernées, dans le cadre du traitement [...], s'agissant en particulier des identifiants de réseaux Wi-Fi (SSID), des adresses MAC de routeurs Wi-Fi et des données de connexion issues de bornes Wi-Fi ;

- Veiller à ne plus collecter de données à caractère personnel de manière déloyale ou illicite dans le cadre du traitement [...] ;

- Communiquer à la Commission les informations et copies demandées lors du contrôle sur place effectué le 19 mai 2010, telles qu'elles figurent au procès-verbal, en particulier fournir à la CNIL une copie sur support informatique de l'ensemble des données recueillies en France, par le biais des bornes Wi-Fi, dans le cadre du traitement [...] ;

- Justifier auprès de la CNIL que l'ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

Afin, notamment, d'obtenir communication des copies informatiques visées par la mise en demeure, en particulier des données enregistrées lors de l'accès aux réseaux Wi-Fi sur le territoire français et du code source ayant permis la collecte, la Commission a procédé à un nouveau contrôle sur place le 4 juin 2010 auprès de la société Y, après un accord téléphonique préalable conclu avec celle-ci.

Au terme du contrôle, la société a remis à la délégation la copie d'un disque dur comprenant l'ensemble des informations collectées par un véhicule [...] dans la zone aux alentours de la ville de MILLAU sur les mois d'avril et de mai 2010.

Elle a également communiqué un second disque, comprenant une copie des données de connexion enregistrées sur le territoire français, une copie d'un rapport d'audit du code source réalisé à la demande de la société X par le cabinet Z, ainsi qu'une copie de la partie du code source ayant conduit à collecter les données relatives au contenu issues de bornes Wi-Fi. La société n'a pas remis l'ensemble du code source utilisé par les [...], considérant que la demande formulée en ce sens par la CNIL visait uniquement le programme informatique ayant servi à la collecte des données Wi-Fi (le programme dénommé ¨[...]¨) et non l'ensemble des logiciels utilisés par les véhicules [...].

Dans un courrier du 4 juin 2010, la société a répondu comme suit à la mise en demeure adoptée par le bureau de la Commission :

Sur l'accomplissement des formalités préalables auprès de la CNIL : la société maintient dans ses observations que les traitements de données opérés dans le cadre du service [...] n'ont, selon elle, pas à être déclarés à la CNIL. Toutefois, malgré ses doutes, la société a fait part de modifications apportées à la déclaration effectuée auprès de la CNIL concernant le service [...]. Ces modifications consistent en premier lieu à ajouter à la rubrique données collectées les informations sur le positionnement du véhicule, les données provenant de l'accéléromètre, du faisceau laser du véhicule, les identifiants SSID, ainsi que les adresses MAC des routeurs Wi-Fi. En second lieu, la fourniture de services de géolocalisation et la création de cartes géographiques ont été rajoutées à la rubrique finalités déclarées. Ces deux ajouts ont été effectués par la société en vue de se conformer à la mise en demeure et sous toutes réserves.

Sur la collecte de données à l'insu des personnes concernées dans le cadre du traitement [...] : la société confirme avoir cessé toute collecte de données Wi-Fi au moyen de [...]. La cessation de cette collecte concerne en particulier des identifiants de réseaux Wi-Fi (SSID), des adresses MAC de routeurs Wi-Fi et des données de connexion issues de bornes Wi-Fi.

Sur la collecte déloyale ou illicite de données : la société indique avoir cessé toute collecte de données Wi-Fi au moyen de [...] ; elle conteste par ailleurs la qualification du caractère déloyal ou illicite qui s'attacherait à cette collecte, dès lors que celle-ci aurait été non-intentionnelle.

Sur les demandes d'informations et de copies informatiques : la société rappelle en particulier avoir remis à la Commission une copie du rapport Z lors du contrôle du 4 juin. Elle indique que la copie du dernier disque dur envoyé aux Etats-Unis issu d'une opération de collecte effectuée par un véhicule [...] en France ainsi que la copie des données relatives au contenu issu des bornes Wi-Fi pour la France, isolée par X ont été communiquées à la Commission lors du contrôle du 4 juin 2010.

La société ajoute avoir remis, lors du contrôle du 4 juin, le code source du programme informatique utilisé au sein des véhicules [...] ayant permis la collecte du payload, c'est-à-dire la collecte des données de contenu, en rappelant qu'elle considérait la demande de la Commission comme visant uniquement le logiciel ayant permis la collecte de données Wi-Fi, dénommé [...], et non l'ensemble des logiciels mis en œuvre au sein des véhicules.

Par courriel en date du 12 juillet 2010, la société a en outre communiqué à la CNIL une nouvelle version du logiciel [...], la version fournie lors du contrôle du 4 juin 2010 n'étant, selon ses dires, pas la bonne.

Sur le code source du logiciel qui sera mis en œuvre lors de la reprise des opérations de collecte : la société indique avoir cessé de collecter des données relatives aux réseaux Wi-Fi au moyen de [...] et qu'elle remettra à la CNIL une copie du ou des nouveaux logiciels mis en œuvre, n'incluant pas de fonctionnalités de collecte de données Wi-Fi, dès que ces éléments seront disponibles.

5. Analyse des pièces remises par la société lors du contrôle du 4 juin 2010

Au terme du contrôle effectué le 4 juin 2010, la société a remis à la CNIL des copies informatiques, en particulier des données enregistrées par X lors de l'accès aux réseaux Wi-Fi sur le territoire français ainsi que du code source ayant permis la collecte. Elle a également remis le rapport d'audit de ce code source, dit rapport Z.

- Le code source du logiciel de collecte de données Wi-Fi

Par sa mise en demeure du 26 mai 2010, la CNIL a enjoint à la société de fournir divers éléments visés par le procès-verbal de contrôle du 19 mai 2010, dont le code du programme informatique utilisé au sein des [...] jusqu'à la date du 14 mai 2010 par X, en identifiant la partie du code ayant conduit à collecter les données relatives au contenu issues des bornes Wi-Fi ("payload data").

Pour répondre à cette injonction, la société a remis à la Commission, lors du contrôle précité du 4 juin 2010, le code source du programme informatique utilisé au sein des véhicules [...] ayant permis la collecte des données de contenu, en rappelant qu'elle considérait la demande de la Commission comme visant uniquement le logiciel ayant permis la collecte de données Wi-Fi, dénommé [...]. Par courriel en date du 12 juillet 2010, la société a en outre communiqué à la CNIL une nouvelle version de ce logiciel [...], la précédente version n'étant, selon ses dires, pas la bonne.

Or l'analyse du code source remis lors du contrôle a permis de constater que la société n'a fourni à la Commission que le code source relatif au calcul de la position GPS de la [...] en mouvement ; l'analyse des nouveaux éléments de code source fournis par courriel le 14 juillet 2010 a révélé que ces derniers éléments se limitaient par ailleurs au code du lancement de l'outil de collecte des données Wi-Fi. Ces nouveaux éléments ne permettaient donc pas davantage que le code source fourni lors du contrôle de déterminer le fonctionnement du logiciel de collecte de données de contenu issues de bornes Wi-Fi.

En revanche, le rapport Z, dont les rédacteurs ont eu, quant à eux, accès à l'ensemble du code source, analysait précisément le fonctionnement du logiciel développé et mis en œuvre par la société.

Il ressort ainsi de ce rapport que le logiciel déployé dans les véhicules de collecte de données, dénommé [...], a été développé par la société en 2006 dans le cadre du projet [...]. Ce logiciel comprend un programme de détection et de captation de données de contenu sans fil, dénommé Kismet, lequel permet de capter et d'enregistrer l'ensemble des données Wi-Fi à sa portée (données de contenu chiffrées, données de contenu non chiffrées, données de contrôle et données de gestion). Le logiciel [...] ajoute des données GPS aux données Wi-Fi captées et enregistrées par Kismet, afin de les localiser de manière précise.

Il s'avère en outre que [...] a été développé de manière à collecter et à conserver par défaut les données de contenu non chiffrées, les données de contrôle et les données de gestion. Les paramètres par défaut de [...] peuvent être modifiés lors de l'utilisation, de manière à limiter les catégories de données conservées. La société n'a pas procédé à un tel paramétrage du logiciel lors de son déploiement au sein des [...], si bien que celui-ci intègre, dès sa mise en œuvre, la possibilité d'enregistrement de données de contenu.

La société n'a par ailleurs communiqué à la CNIL aucun élément, même partiel, du code source du nouveau logiciel de collecte visé par la mise en demeure du 26 mai 2010.

- Sur les données de contenu captées par les [...]

Lors du contrôle du 4 juin 2010, la société X a remis à la délégation de la Commission une copie des données de contenu enregistrées en France. Le procès-verbal précise qu'il s'agit de données de contenu Wi-Fi ( payload ) isolées des autres données, et collectées pour l'ensemble de la France par tous les [...].

Il ressort tout d'abord de l'analyse de ces données, effectuée par les services de la Commission, que les [...] ont effectivement collecté des données de contenu à partir de réseaux Wi-Fi non sécurisés, sur une large part du territoire français. Plus de 50 % du territoire a ainsi été couvert, dont l'ensemble des zones urbaines et en particulier les agglomérations de Paris, Lille, Lyon, Bordeaux, Marseille, Toulouse, Caen, Rennes, Strasbourg, Clermont-Ferrand et Nice.

Les données communiquées à la CNIL représentent un volume de 16,8 Go. Dans cet ensemble de données de contenu, le volume exploitable s'élève approximativement à 1400 Mo, soit 8 % du volume total des données analysées.

Parmi celles-ci, en opérant des recherches sur la base de mots-clés, la Commission a pu isoler 656 Mo de données relatives à la navigation sur internet, révélant la présence de 112 mots de passe d'accès à des sites internet (http) ainsi que de nombreuses données de connexion à des sites de rencontre et à des sites pornographiques.

En procédant par simple requête par mot-clé, la Commission a également isolé 6 Mo de données d'accès à des boîtes de courrier électronique, comprenant 72 mots de passe de messagerie. Parmi les données d'envoi de mail (smtp), la CNIL a pu identifier 124 adresses de courrier électronique, concernant aussi bien des expéditeurs que des destinataires. De manière générale, la Commission a pu identifier 774 adresses de courrier électronique distinctes sur l'ensemble des données communiquées.

Quant à l'analyse des données de contenu, elle a permis de déterminer avec une grande précision la nature des sites consultés, les mots de passe permettant d'y accéder et l'emplacement géographique de l'utilisateur. Elle a également permis de parvenir à un certain nombre de rapprochements, par exemple :

- Le 2 juin 2008, à 12h46, un internaute situé selon les données GPS à proximité d'une adresse très précise, dans la ville de MARSEILLE (13007), accède à un site d'image pornographiques appelé http://www.straightboysjerkoff.com, dont il est membre. L'identifiant qu'il utilise sur le site est enregistré en clair, ainsi que son mot de passe et son adresse IP sur le réseau interne, connecté à son point d'accès. L'identifiant SSID et l'adresse MAC de son point d'accès sont connus de X mais ont été supprimés des informations fournies à la CNIL.

- Le 21 octobre 2008 à 13h05 un internaute situé selon les données GPS à proximité de la place Anne de Beaujeu, à TOURS (37000), accède à un site de rencontres gay http://recontres.gayvox.com. Son adresse IP sur le réseau interne connecté à son point d'accès a été enregistrée.

- le 26 Mars 2009 à 15h03, un internaute pouvant être situé très précisément à l'aide de ses coordonnées GPS sur la D118 (au nord de CARCASSONNE) accède à un site de rencontre http://www.mes-rencontres-sexy.com/ dont il est membre. L'identifiant utilisé est connu de la société, comme son mot de passe et son adresse IP sur le réseau interne connecté à son point d'accès. De nouveau, l'identifiant SSID et l'adresse MAC du point d'accès de cet utilisateur sont connus de X mais ont été supprimés des informations fournies à la CNIL. Avant d'arriver sur ce site, selon les cookies qui ont été interceptés, l'internaute a effectué la recherche suivante sur le moteur de recherche de X : rencontre coquine gratuite .

- Ont également été interceptées les bribes d'un accès à un système de soins en ligne, à proximité des coordonnées GPS de [...]. Ces bribes font notamment référence à un soin prescrit par un professionnel de santé nommément désigné, et le chemin d'accès aux documents recherchés fait référence à un outil de gestion des patients en milieu hospitalier.

- Il a également été possible de consulter un échange de courriels entre une femme et un homme mariés, cherchant tous deux une relation extraconjugale. Les coordonnées GPS associées à cette requête, identifiées en clair, pointent vers une adresse précise (un numéro de rue dans une ville du département du Rhône). Les personnes concernées sont identifiées par leurs prénoms et leurs adresses de courrier électronique.

Ces rapprochements ont été opérés par la CNIL sans difficulté particulière, alors même que les identifiant SSID et les adresses MAC des point d'accès de ces utilisateurs, connus de la société, avaient en revanche été supprimés des informations lui ayant été fournies.

- Sur les identifiants SSID et des adresses MAC captés par les [...]

Lors du contrôle du 4 juin 2010, la société X a remis à la délégation de la Commission la copie d'un disque dur comprenant l'ensemble des informations collectées à l'issue d'une opération de collecte effectuée par un véhicule [...] (zone autour de la ville de MILLAU - fin avril-mai 2010.

L'analyse de ce disque dur, qui correspond à un parcours réalisé le long de grands axes routiers dans la région Languedoc-Roussillon, a révélé la présence de plus de 6 000 identifiants SSID et de plus de 185 000 adresses MAC.

Elle a par ailleurs permis d'établir que les [...] enregistraient non seulement les adresses MAC des points d'accès Wi-Fi, mais aussi les adresses MAC de l'ensemble des terminaux connectés à ces points d'accès (ordinateurs personnels, imprimantes et autres périphériques, smartphones, etc).

6. La demande d'avis informel émise par la société sur la reprise de circulation des [...] (15 juillet 2010)

Par un courriel du 15 juillet 2010, la société a indiqué à la Commission qu'elle planifiait le prolongement ou non des contrats liés aux voitures de X et leurs conducteurs. Elle a précisé que lors du redémarrage, les voitures ne comporteront plus aucun équipement de collecte Wi-Fi. Au terme de ce courriel, la société sollicitait un avis informel de la Commission sur l'articulation avec la procédure en cours.

Les services de la Commission ont répondu à cette demande le 16 juillet 2010, en précisant que conformément à ce qui a été précisé dans le procès-verbal rédigé à l'occasion du contrôle effectué le 19 mai 2010, la CNIL demande à être informée dès qu'un véhicule [...] collectera à nouveau des données en France afin qu'une délégation de la CNIL puisse assister aux opérations de collecte et avoir copie, à des fins d'analyse, des informations qui auront été collectées à cette occasion.

Compte tenu de la procédure de mise en demeure en cours, les services se sont abstenus de tout avis informel sur la reprise de circulation des [...], la possibilité de formuler un tel avis n'étant d'ailleurs pas prévue par la loi.

7. Le contrôle portant sur le service [...] suite à la mise en demeure

Les services de la Commission ont procédé à un contrôle sur place le 21 juillet 2010 auprès de la société Y afin d'obtenir des précisions sur les caractéristiques techniques des services de géolocalisation proposés par la société, dont le service [...], dès lors que leurs demandes antérieures en ce sens n'avaient pas été satisfaites.

Lors du contrôle, la société a précisé la portée de la déclaration modificative reçue par la Commission le 8 juin 2010, concernant le service [...]. Elle a informé la délégation que la modification précitée vise à régulariser la formalité effectuée en y intégrant les données Wi-Fi qui ont été collectées jusqu'ici. Cette modification vise également à préciser que les données Wi-Fi collectées sont utilisées dans le cadre des applications de géolocalisation proposées par Y.

Au terme de ce contrôle, la délégation a remis à la société la copie d'un questionnaire, déjà adressé le 13 juillet 2010, comportant notamment la question suivante : Pour reconnaître un point d'accès Wi-Fi les services de géolocalisation de Y (utilisés par [...]) ont-ils besoin de son SSID ? L'adresse MAC n'est-elle pas suffisante ?

Par un courrier de réponse daté du 3 août 2010 (ultérieurement complété par un courrier du 15 septembre 2010), la société a transmis à la CNIL des éléments de réponse à ce questionnaire, indiquant notamment que la société n'utilisait alors pas les données SSID pour fournir le service [...].

8. Le contrôle du 30 juillet 2010

La Commission a de nouveau procédé à une mission de contrôle le 30 juillet 2010 afin d'examiner le fonctionnement et les caractéristiques techniques d'une [...], à la suite de la mise en demeure du 26 mai 2010. Ce contrôle s'est en partie déroulé dans les locaux de la Commission, en coordination avec la société.

La délégation a procédé à des constatations sur les dispositifs techniques mis en œuvre au sein du véhicule, en particulier les dispositifs de collecte (appareils photo, antennes, gyroscope, etc). Elle a été informée par la société que le véhicule ne dispose d'aucun moyen de captation des signaux Wi-Fi et qu'aucune donnée Wi-Fi ne sera collectée par le véhicule.

Le disque dur de collecte du véhicule, qui devait être remis à la délégation au terme d'un déplacement dans Paris, n'a pu être remis en raison de l'impossibilité technique de lire et de copier ce disque. La société a alors proposé à la Commission, qui a accepté, de conserver le disque dur de collecte inexploitable.

Ce n'est qu'au terme d'un second contrôle, effectué le 11 août 2010, et de l'analyse du disque dur fourni par la société, qu'il est apparu que les données enregistrées étaient effectivement constituées de photographies et de données GPS, et ne comportaient plus de fichiers de données Wi-Fi.

Au terme de la mission de contrôle, il a par ailleurs été demandé à la société d'indiquer si des identifiants d'antennes GSM ( Cell IDs ) étaient enregistrés par ses véhicules. La société a répondu par courriel, le 13 août 2010, qu'elle ne collectait pas de telles données par le biais des véhicules [...], tout en précisant que ces données étaient collectées dans le cadre d'autres services, tels que [...].

9. L'annonce par la société de la remise en circulation des [...]

Par courriel en date du 18 août 2010, la société a informé la CNIL qu'elle rendrait publique, dès le lendemain, la reprise de la conduite des voitures du service [...] en France.

Dès le lendemain, la Commission a adressé à X un courrier recommandé daté du 19 août 2010 afin de rappeler qu'en l'état, X n'a pas encore fourni l'ensemble des réponses ou éléments demandés par la mise en demeure du 26 mai 2010 et lors des contrôles postérieurs. Le courrier ajoute que la reprise de la circulation des [...] et de leur collecte placerait [la] société dans une situation juridique vulnérable dans la mesure où la formation restreinte ne s'est pas encore prononcée [sur les suites à donner à la mise en demeure].

L'annonce de la remise en circulation des [...] a effectivement été rendue publique le 19 août 2010, en dépit du fait qu'une procédure était toujours en cours suite à l'adoption de la mise en demeure du 26 mai 2010 et de la poursuite des contrôles.

10. Le contrôle effectué à la suite de la remise en circulation des [...]

A la suite de cette annonce, la Commission a procédé à un contrôle sur place auprès de la société le 25 août 2010, afin d'examiner le fonctionnement d'une [...].

Lors du contrôle, la délégation a été informée que 22 véhicules [...] avaient été remis en circulation en France, dont un en Île de France. Après avoir constaté l'absence d'antenne Wi-Fi et l'absence du logiciel [...] dans la liste des logiciels installés au sein du véhicule, elle a procédé à un parcours d'une heure environ dans le véhicule.

A l'issue de ce parcours, la délégation a procédé à l'analyse du disque dur embarqué, et constaté que les données enregistrées sont constituées de photographies et de données GPS, et ne comportent pas de fichiers de données Wi-Fi.

II. PROCEDURE

Sur la base de ces échanges et des constats opérés lors des missions de vérification sur place diligentées postérieurement à la mise en demeure, la Commission a engagé une procédure contre la société X sur le fondement du 1° du I de l'article 45 de la loi du 6 janvier 1978 modifiée, qui dispose :

"I. - La Commission nationale de l'informatique et des libertés peut (...) mettre en demeure le responsable de faire cesser le manquement constaté dans un délai qu'elle fixe.

Si le responsable d'un traitement ne se conforme pas à la mise en demeure qui lui est adressée, la commission peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes :

1° Une sanction pécuniaire, dans les conditions prévues par l'article 47, à l'exception des cas où le traitement est mis en œuvre par l'État ; (...)".

Le rapport de M. Philippe GOSSELIN, membre de la CNIL, rapporteur, proposant à la formation restreinte de la CNIL de prononcer une sanction pécuniaire de 150 000 € à l'encontre de la société X, a été notifié par courrier en date du 28 octobre 2010, reçu le 1er novembre 2010. Copie de ce courrier a également été notifiée à la société Y par courrier en date du 28 octobre 2010, reçu le 29 octobre 2010.

A l'appui de sa proposition, le rapporteur a fait valoir la constatation de plusieurs manquements à la loi du 6 janvier 1978 modifiée, tels qu'ils découlaient, selon lui, du non-respect de la mise en demeure préalablement prononcée, à savoir :

- Un manquement à l'obligation d'accomplir les formalités préalables à la mise en œuvre du traitement [...] ;

- Un manquement au respect de la vie privée et des libertés individuelles ;

- Un manquement à l'obligation d'effectuer une collecte loyale et licite des données ;

- L'insuffisance des réponses apportées par la société aux demandes de la Commission.

Le courrier de notification qui accompagnait le rapport informait par ailleurs celle-ci que son dossier était inscrit à l'ordre du jour de la formation restreinte du lundi 6 janvier 2011 à 14h30.

La société a fait part de ses observations écrites sur le rapport par un courrier de son conseil, en date du 28 décembre 2010. Lors de la séance de la formation restreinte de la CNIL du lundi 6 janvier 2011, elle a en outre réitéré ces observations en défense oralement.

La société, sans remettre en cause la matérialité des faits constatés, a, pour l'essentiel, conclu à l'irrégularité des procédures initiées par la CNIL, à l'inapplicabilité de la loi du 6 janvier 1978 modifiée en août 2004 au service [...], à la cessation de tous les manquements constatés dans la mise en demeure, et à la bonne volonté manifestée par la société dans sa coopération avec la CNIL sur ce dossier.

III. MOTIFS DE LA DECISION

1. Sur l'irrégularité alléguée des décisions de contrôle sur place

Dans ses écritures comme en séance, la société soutient que les différents contrôles sur place diligentés par la CNIL dans cette affaire l'ont été en violation des dispositions de la loi du 6 janvier 1978 modifiée.

- En premier lieu, la société reproche aux services de la Commission d'avoir procédé à sept contrôles sur place sur la base d'une seule et unique décision de procéder à un contrôle, en l'occurrence la décision adoptée par le président de la CNIL le 17 mai 2010. Ceci serait, selon elle, contraire à la loi informatique et libertés.

Sur ce point, la formation restreinte relève qu'aucune disposition de la loi du 6 janvier 1978 modifiée n'impose au président de la CNIL d'adopter plusieurs décisions de procéder à plusieurs missions de contrôle sur place quand les vérifications opérées se rapportent toutes à un seul et même objet.

Elle note à cet égard que la décision du président de la Commission, en date du 17 mai 2010, justifie que soient diligentées des vérifications dans cette affaire par le fait qu'il importe de vérifier le respect, par la société X, représentée par la société Y, située [...], de l'ensemble des dispositions de la loi du 6 janvier 1978 modifiée le 6 août 2004. Elle prévoit également que la mission de contrôle sur place aura lieu auprès de cette société et, le cas échéant, de tout autre lieu concerné par les traitements ou fichiers mis en œuvre pour le compte de la société X La décision, qui ne fixe délibérément aucune date particulière pour la tenue de la mission de contrôle, est formulée de manière à permettre le prolongement éventuel des vérifications, dans l'espace comme dans le temps.

Il ressort en outre des pièces du dossier que les contrôles diligentés par les services de la CNIL auprès de la société Y, représentant la société X, ont été organisés dans la continuité d'une même procédure, et ne peuvent de ce fait être considérés comme portant sur des objets différents. A titre d'exemple, elle relève ainsi que la tenue du contrôle du 18 janvier 2010 a été convenue avec la société lors du précédent contrôle du 11 décembre 2009, afin que les services de la Commission puissent procéder à l'examen d'une [...] en état de marche ; de même, le contrôle du 4 juin 2010 avait pour objectif d'obtenir communication des copies informatiques visées par la mise en demeure du 26 mai 2010, celle-ci faisant elle-même référence aux contrôles diligentés par les services de la CNIL avant cette date.

Au vu de ce qui précède, il ne peut être contesté que l'ensemble des contrôles diligentés dans cette affaire avait pour finalité de permettre à la CNIL d'avoir une parfaite compréhension du fonctionnement des services de géolocalisation offerts par la société X, représentée par la société Y, et d'établir si les traitements mis en œuvre dans ce cadre étaient conformes à la loi informatique et libertés.

La formation restreinte estime, dès lors, que la décision du président de la Commission du 17 mai 2010 pouvait valablement servir de base à la succession de contrôles diligentés dans cette affaire.

- En second lieu, la société soutient que les contrôleurs de la CNIL n'auraient pas informé les collaborateurs de la société Y de l'objet des vérifications opérées au plus tard au début de ces contrôles, mais au fur et à mesure des vérifications. Ceci serait, selon elle, contraire aux dispositions de l'alinéa 1 de l'article 62 du décret du 20 octobre 2005, qui prévoient que lorsque la commission effectue un contrôle sur place, elle informe au plus tard au début du contrôle le responsable des lieux de l'objet des vérifications qu'elle compte entreprendre, ainsi que de l'identité et de la qualité des personnes chargées du contrôle.

Sur ce point, la formation restreinte relève qu'il ressort des procès-verbaux établis par les contrôleurs de la CNIL, signés par les représentants de la société à l'issue des vérifications, que l'objet de celles-ci a été systématiquement communiqué à la société par les contrôleurs de la CNIL, au plus tard au début des contrôles.

Elle relève en outre que l'objet de ces contrôles a même parfois été communiqué en amont des contrôles, que ce soit par téléphone ou par courrier électronique, comme il ressort des procès-verbaux de contrôle rédigés à l'issue de ces missions, conformément à la loi. A titre d'exemple, la société a été informée par mél, le 13 juillet 2010, de l'organisation d'un contrôle dans ses locaux le 21 juillet 2010, cet envoi étant assorti d'une liste de questions très précises, sans ambiguïté sur l'objet du contrôle ; de même, la société a été préalablement informée par mél, le 23 juillet 2010, de l'objet d'un contrôle appelé à se tenir le 30 juillet 2010 dans ses locaux.

La formation restreinte souligne en outre que les visas des procès-verbaux rédigés à l'issue des contrôles indiquent, tous sans exception, que le responsable des lieux a bien été informé de l'objet des vérifications, de l'identité et de la qualité des personnes chargées du contrôle, et que ces documents ont été signés sans observations des représentants de la société sur ce point.

Dès lors, elle considère l'objection de la société sur ce point inopérante.

- En troisième lieu, la société soutient que les procédures de contrôle sur place diligentées par les services de la Commission seraient irrégulières dans la mesure où elles n'auraient pas fait l'objet d'une autorisation judiciaire préalable.

Sur ce point, la formation restreinte relève que le droit en vigueur n'impose aucunement aux services de la CNIL de requérir l'autorisation préalable des contrôles qu'ils diligentent auprès du juge judiciaire. Une telle demande d'autorisation n'a à être requise que de manière subsidiaire, en cas d'opposition du responsable des lieux à la tenue d'un contrôle. Dans ses arrêts Inter Confort et Pro Décor du 6 novembre 2009, le Conseil d'Etat a en effet estimé que la faculté du responsable des locaux de s'opposer à la visite [de la CNIL], laquelle ne peut alors avoir lieu qu'avec l'autorisation et sous le contrôle du juge judiciaire, offre une garantie équivalente à l'autorisation préalable du juge. Or, la société ne s'étant pas opposée à la tenue des contrôles diligentés auprès d'elle, celle-ci ne saurait valablement alléguer de l'irrégularité des procédures diligentées par la CNIL sur ce fondement.

2. Sur l'irrégularité alléguée de la mise en demeure prononcée

Dans ses écritures ainsi qu'en séance, la société a reproché à la CNIL d'avoir adopté la mise en demeure du 26 mai 2010 avant l'expiration des délais impartis lors du contrôle du 19 mai 2010 ; elle considère ainsi que la mise en demeure, adoptée moins de 5 jours ouvrés après le contrôle du 19 mai, aurait été adoptée de manière irrégulière.

Sur ce point, la formation restreinte relève qu'il ressort des pièces du dossier que le procès-verbal de contrôle du 19 mai 2010 fixait plusieurs délais, en fonction des demandes formulées par la délégation de contrôle à l'issue de celui-ci. Il apparaît à la lecture de ce procès-verbal qu'un délai de cinq jours ouvrés a été spécifiquement imparti à la société pour communiquer le code source du programme informatique utilisé jusque la date du 14 mai 2010, en identifiant la partie du code ayant conduit à collecter les données relative au contenu des bornes Wi-Fi, ainsi que pour répondre à diverses questions. En revanche, il s'avère que la délégation de contrôle a imparti un délai distinct de trois jours pour que la société communique à la CNIL une copie intégrale des données relatives au issu des bornes Wi-Fi pour la France, isolée par X.

Le délai de transmission à la CNIL du contenu des communications Wi-Fi captées en France était donc bien de trois jours ouvrés. En tenant compte de la fermeture des locaux de la Commission le 24 mai, il résulte de ce qui précède que le délai fixé par la délégation de contrôle expirait le 25 mai 2010. La mise en demeure adoptée par le bureau de la Commission le 26 mai a donc bien été adoptée après l'expiration du délai imparti à Y lors du contrôle du 19 mai 2010.

La formation restreinte, dès lors, ne saurait accueillir l'objection de la société sur ce point.

3. Sur l'insuffisance alléguée du délai accordé à la société pour répondre au rapport de sanction

La société estime dans ses écritures ne pas avoir bénéficié de suffisamment de temps ni d'informations pour répondre au rapport de sanction lui ayant été notifié le 28 octobre 2010.

Elle soutient à cet égard que la mise en demeure adoptée par la formation restreinte et le rapport d'expertise du service informatique de la CNIL ayant été rédigés exclusivement en langue française, la CNIL aurait violé l'article 6-3 de la Convention européenne des droits de l'homme, qui prévoit que tout accusé a droit notamment à (...) être informé, dans le plus court délai, dans un langue qu'il comprend et d'une manière détaillée, de la nature et de la cause de l'accusation portée contre lui . De surcroit, le temps nécessaire à la traduction de ces documents s'étant imputé sur le délai de réponse à la mise en demeure, le délai de mise en conformité prévu par la mise en demeure adoptée en urgence était selon elle excessivement bref (sept jours).

Sur ce point, la formation restreinte rappelle que la vocation même de la mise en demeure adressée en urgence est d'enjoindre au plus vite à l'organisme concerné de respecter la loi, en lui précisant les manquements constatés et les mesures à prendre pour remédier à ces manquements. Dans de telles circonstances, les dispositions de l'article 73 du décret d'application de la loi informatique et libertés prévoient que le bureau peut adopter un délai de mise en conformité inférieur à dix jours en cas d'urgence.

En l'espèce, le délai de sept jours imparti à la société apparaît donc parfaitement conforme aux dispositions légales et réglementaires applicables.

Il ressort en outre des pièces du dossier que Monsieur Philippe GOSSELIN, membre de la CNIL, n'a été désigné en qualité de rapporteur devant la formation restreinte sur cette affaire que le 7 octobre 2010, c'est-à-dire plus de quatre mois après l'adoption de la mise en demeure. La société avait donc la possibilité de se mettre en conformité par rapport aux manquements constatés dans ce délai de quatre mois précédant l'audience.

La formation restreinte juge donc qu'il est excessif de la part de la société, au vu de ces circonstances, de soutenir qu'elle a fait l'objet d'une procédure précipitée, au mépris de ses droits.

S'agissant des difficultés qu'aurait rencontrées la société pour répondre aux demandes de la CNIL, du fait que celle-ci n'aurait pas fourni les documents de procédure en anglais, la formation restreinte relève qu'une jurisprudence établie du Conseil d'Etat prévoit que la notification d'écritures en langue française ne porte pas atteinte aux droits de l'organisme visé, dès lors que ce dernier est représenté par un avocat français (arrêt du 7 décembre 2005, société RYANAIR, n° 270424, publié au recueil Lebon). La société X disposant d'un conseil en France, une telle traduction n'était de ce fait pas nécessaire. La formation restreinte relève, en outre, que la CNIL a communiqué à la société le rapport de sanction traduit en langue anglaise, ce qui dénote de la volonté de la Commission de respecter le droit de la société à un procès équitable au sens de la Convention européenne des droits de l'homme et des libertés fondamentales.

La formation restreinte, dès lors, n'accueille pas davantage l'objection que forme la société à l'encontre de la CNIL sur ce point.

4. Sur la qualification préalable des données collectées comme des données à caractère personnel

- Textes applicables

L'article 2 de la loi du 6 janvier 1978 modifiée en août 2004 dispose que : "Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne".

Par ailleurs, l'article 2 de la Directive 95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données dispose qu' on entend par (...) "a) données à caractère personnel : toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale".

Cette définition est complétée par le Considérant 26 de la directive, qui prévoit que "les principes de la protection doivent s'appliquer à toute information concernant une personne identifiée ou identifiable; (...) pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne; que les principes de la protection ne s'appliquent pas aux données rendues anonymes d'une manière telle que la personne concernée n'est plus identifiable; (...)".

- Sur les données SSID et MAC, combinées à des données de localisation

Le rapporteur soutient que les données SSID et MAC, combinées aux données de localisation collectées par les véhicules [...], sont des données à caractère personnel, ce que la société conteste en faisant part de ses doutes sur ce point.

Pour se prononcer sur cette question de qualification en l'espèce, la formation restreinte a relevé les éléments suivants.

S'il est certain que le champ d'application des règles de protection des données ne doit pas être étendu de manière excessive, il est en revanche admis que la notion de données à caractère personnel est définie de manière extensive tant par la Directive européenne 95/46 susvisée que par la loi du 6 janvier 1978 modifiée. Ainsi, il ressort des travaux préparatoires sur la Directive 95/46 que l'identification d'une personne ne passe pas nécessairement par la connaissance d'éléments d'identité avérés (nom, prénom, etc.) mais peut ressortir d'un faisceau d'autres éléments (métier, nationalité, âge, numéro de téléphone, conditions de travail, etc.). Ce point est expressément relevé dans l'avis 4/2007 rendu par le groupe dit de l'article 29, organe consultatif indépendant de l'Union européenne sur la protection des données et de la vie privée, cité par le rapporteur dans son rapport.

En ce qui concerne les identifiants SSID, la société indique que ceux-ci ne comporteraient que rarement les noms et/ou prénoms de personnes physiques, qu'à supposer même que cet identifiant révèle l'emploi d'un nom et d'un prénom, il ne serait pas pour autant possible d'identifier une personne précise du fait de possibles homonymies, enfin, qu'il serait difficile d'affirmer que la personne supposément identifiée soit nécessairement celle utilisant le réseau.

La formation restreinte constate, pour sa part, que les identifiant SSID permettent d'identifier les réseaux Wi-Fi se trouvant à portée et de s'y connecter et que ces identifiants comportent fréquemment le nom et/ou le prénom des titulaires du réseau ; de tels éléments permettent alors manifestement d'identifier une personne physique. Ces données doivent alors être considérées comme constituant des données à caractère personnel.

En ce qui concerne les adresses MAC, la société soutient que celles-ci n'identifieraient qu'un routeur et non pas une personne physique, que plusieurs utilisateurs pourraient utiliser un même routeur pour accéder à internet, et qu'il est envisageable que l'adresse MAC ait été usurpée par un tiers, si bien qu'il est impossible de présupposer de manière définitive qu'un lien stable existe entre une adresse MAC et une personne physique.

La formation restreinte estime à cet égard qu'une adresse MAC, qui n'identifie que le routeur Wi-Fi qui permet aux utilisateurs d'accéder à internet, ne peut être qualifiée, à elle seule, de donnée à caractère personnel. En revanche, une adresse MAC peut être captée par des sites Internet lors de la navigation de l'Internaute, après que ce dernier se soit identifié. Une fois reliée à ces éléments d'identification, elle constitue nécessairement une donnée personnelle. C'est en fonction de tels éléments de contexte qu'il convient de décider si une adresse MAC peut être considérée, ou non, comme une donnée à caractère personnel.

Sur la question de savoir si ces données, combinées avec des données de localisation, sont susceptibles d'être alors qualifiées de données à caractère personnel, la société soutient qu'une telle combinaison ne permettrait pas davantage d'identifier des personnes physiques, les données de localisation dont dispose alors la société n'étant qu'approximatives. Elle soutient, au demeurant, que le rapport d'expertise de la CNIL lui-même n'identifierait aucune personne physique à partir de la combinaison des données SSID, MAC et des données de localisation - l'emplacement précis d'un routeur Wi-Fi ne pouvant en outre être déterminé avec certitude que dans des zones très peu peuplées.

Elle rappelle également que seuls les moyens susceptibles d'être raisonnablement mis en œuvre par le responsable de traitement doivent être pris en compte pour considérer une personne physique comme identifiable, conformément au considérant 26 de la directive 95/46/CE, précité. Or il serait extrêmement difficile, selon elle, de localiser l'emplacement précis d'un routeur, et par conséquent de mettre en œuvre des moyens raisonnables pour procéder à l'identification de son titulaire.

Sur ce point, la formation restreinte relève qu'en l'espèce, les véhicules [...] ont enregistré leurs propres coordonnées GPS, en même temps que les adresses MAC de points d'accès Wi-Fi, dans le but de collecter des données de localisation permettant, in fine, de déterminer la position géographique des utilisateurs du service [...] (ainsi que, incidemment, des autres services de géolocalisation offerts par la société X faisant appel à la base de données de localisation [...]). La possibilité de localisation d'une personne physique identifiée constitue donc, par essence, la finalité du service concerné.

La formation restreinte estime, dès lors, que dans la mesure où ces données permettent de déterminer l'emplacement des utilisateurs du service, elles révèlent avec une particulière acuité le comportement de ces derniers, au sens de la Directive et des travaux du G29. La finalité de la collecte des adresses MAC, combinées aux autres informations collectées, conduit la formation restreinte à considérer que ces données, combinées entre elles, constituent des données à caractère personnel.

Cette analyse est confortée par le fait qu'il ressort du rapport, non-contesté sur ce point à l'audience, que les bases de données de localisation comme la base [...] permettent non seulement aux internautes de rechercher une personne à partir de son nom ou de son adresse, mais aussi d'effectuer une recherche à partir de l'adresse MAC d'un routeur Wi-Fi. La saisie de l'adresse MAC permet alors d'obtenir l'emplacement géographique du point d'accès Wi-Fi concerné.

S'il est exact que ce procédé ne permet pas, dans tous les cas, de déterminer avec exactitude l'emplacement du point d'accès recherché, en particulier dans des zones densément peuplées, il est néanmoins possible dans cette hypothèse de se déplacer sur les lieux désignés par le service de localisation, puis de rechercher l'emplacement précis du point d'accès, à partir des variations de puissance d'émission du routeur Wi-Fi recherché. Sur ce point, la formation restreinte rejoint donc l'analyse du rapporteur.

Elle ne souscrit donc pas à l'argument de la société, selon laquelle la localisation d'une maison par la collecte des adresses MAC serait extrêmement difficile, cette collecte ayant précisément pour finalité de constituer une base de données de localisation constituant une cartographie du territoire, afin de pouvoir fournir un service de géolocalisation aux utilisateurs du service [...].

Elle estime donc, en l'espèce, que la collecte conjointe d'identifiants SSID et d'adresses MAC, en association avec des données de géolocalisation, est de nature à qualifier l'opération de collecte initiée par la société dans cette affaire de traitement de données à caractère personnel au sens de l'article 2 de la loi du 6 janvier 1978 modifiée.

- Sur les données de contenu

Le rapporteur soutient par ailleurs que les données de contenu ("payload data") collectées par la société via les véhicules [...] sont des données à caractère personnel.

La société soutient, à l'inverse, que ces données de contenu ne sont pas des données personnelles. Pour ce faire, elle argue de ce que les données de contenu ont été enregistrées en format binaire, illisible par l'homme, ne permettant donc pas d'identifier des personnes physiques. Elle indique, au surplus, qu'elle n'a opéré leur conversion en format lisible qu'à la demande de la CNIL, qu'aucune personne physique n'a pu être formellement identifiée au terme de l'analyse de ces données par la CNIL, et que les données étaient pour l'essentiel parcellaires.

Sur ce point, la formation restreinte relève les éléments suivants :

En premier lieu, elle ne saurait admettre que l'enregistrement de données dans un format non lisible par l'homme aurait une incidence sur leur qualification de donnée à caractère personnel : à défaut, il suffirait de procéder au chiffrement de données initialement lisibles pour échapper aux dispositions de la loi informatique et libertés.

En outre, la formation restreinte observe que, de l'aveu d'un dirigeant de la société dans le communiqué précité du 22 octobre 2010, et comme l'a relevé le rapporteur tant dans ses écritures que lors de l'audience, la société a reconnu avoir enregistré des courriels entiers, des adresses web et des mots de passe au moyen de ses [...], au point d'admettre qu'elle avait gravement failli ("we failed badly") et qu'elle était mortifiée de cette affaire ("we are mortified by what happened"). Elle ne saurait donc, dans un tel contexte, rejoindre la société selon laquelle seules des informations fragmentaires, échappant de ce fait à la qualification de données à caractère personnel, auraient été recueillies.

Bien au contraire, elle constate que les services de la CNIL ont relevé, dans les données fournies par la société, des sites web consultés, des adresses électroniques, leur localisation géographique, des identifiants et des mots de passe de comptes personnels, ainsi que le contenu de courriers électroniques. Ces données constituent incontestablement des données à caractère personnel, au sens de la loi du 6 janvier 1978 modifiée, sans qu'il soit nécessaire de déterminer les noms et prénoms des personnes concernées pour retenir cette qualification.

Dans ces conditions, elle considère donc que les adresses MAC et les identifiants SSID, combinés aux données de localisation collectées par la société, et a fortiori les données de contenu, doivent être considérés comme des données à caractère personnel, soumises, à ce titre, à la protection de la loi informatique et libertés.

5. Sur le manquement à l'obligation d'accomplir les formalités préalables à la mise en œuvre des traitements

Tout responsable de traitement a l'obligation d'accomplir des formalités préalables auprès de la CNIL avant la mise en œuvre d'un traitement automatisé de données personnelles, conformément aux dispositions du chapitre IV de la loi du 6 janvier 1978.

Aux termes de la mise en demeure n° 2010-216 du 26 mai 2010, il était reproché à la société un manquement à l'obligation d'accomplir les formalités préalables, au motif :

- que le traitement [...] n'avait pas fait l'objet de formalités préalables à sa mise en œuvre auprès de la CNIL ;

- que, dans le cadre des formalités effectuées auprès de la CNIL concernant le dispositif [...] (déclaration n° 1303459), la société n'avait pas déclaré la collecte des identifiants SSID et des adresses MAC des routeurs Wi-Fi ainsi que des données de connexion issues de bornes Wi-Fi.

Le bureau de la Commission avait donc enjoint la société de procéder aux formalités déclaratives requises pour le traitement [...], et, en ce qui concerne le service [...], de cesser toute collecte des identifiants SSID et des adresses MAC des routeurs Wi-Fi, ainsi que des données de connexion issues de bornes Wi-Fi, cette collecte n'ayant pas été régulièrement déclarée.

La formation restreinte constate, en premier lieu, que la déclaration relative au service [...] a été modifiée pour prendre en compte la demande de la CNIL, bien que sous toutes réserves. Elle estime donc qu'il a été satisfait aux exigences de la mise en demeure sur ce point, bien qu'indirectement.

Elle constate, en revanche, que la société n'a toujours pas procédé aux formalités prévues au Chapitre IV de la loi du 6 janvier 1978 précitée pour le traitement [...].

La société se défend sur ce point en estimant que la société X, établie aux Etats-Unis, n'a recours à aucun moyen de traitement sur le territoire français pour y mettre en œuvre le traitement [...] dont elle est responsable. La mise en œuvre de ce traitement ne serait dès lors pas soumise à la loi française, dès lors que les dispositions de la loi informatique et libertés ne sont applicables, en ce qui concerne les traitements de données réalisés par un responsable non-établi sur le territoire français, que dans la mesure où celui-ci recourt à des moyens de traitement situés sur le territoire français (article 5-I-2°).

En admettant même que la société puisse ne pas être considérée comme établie sur le territoire français, ce qui lui semble pourtant discutable en raison de l'établissement d'une entité juridique distincte à Paris (la SARL Y), la formation restreinte ne souscrit pas à l'interprétation restrictive de la notion de moyen de traitement que défend la société pour se soustraire à l'application de la loi informatique et libertés.

Cette notion ne saurait en effet être réduite la seule utilisation d'équipement ou de matériel propriétaire, comme l'entend la société.

S'il est exact que la version en langue anglaise de l'article 4 de la Directive 95/46, précitée, que transpose l'article 5 de la loi informatique et libertés en droit français, est rédigée de manière restrictive par rapport aux autres versions linguistiques du texte faisant foi, il est toutefois établi que la notion d' équipement ( equipment ) employée dans la version anglaise doit faire l'objet d'une interprétation large, correspondant à celle de moyens de traitement employée tant dans la version française du texte que dans ses autres versions linguistiques, dans lesquelles figure son équivalent littéral.

La formation restreinte doit donc déterminer si des moyens de traitement sont mis en œuvre sur le territoire français dans le cadre du service [...].

Sur ce point, elle constate en premier lieu qu'il ressort des écrits de la société, confirmés sur ce point à l'audience, que les services [...], accessibles tous deux par le biais de [...], et plus généralement l'ensemble des services de géolocalisation offerts par la société, reposent sur une base de données commune (la base [...], précitée). Or il est acquis que les véhicules [...], dont la société reconnaît qu'ils constituent des moyens de traitement au sens de la loi, ont été utilisés en première intention pour constituer la partie de cette base de données concernant la France, en utilisant GPS et signaux radio. La mise en œuvre des services de géolocalisation offerts par la société en France repose donc sur une base de données principalement constituée par des moyens de traitement situés en France.

La formation restreinte constate, de surcroît, que le service [...] ne peut fonctionner sans faire appel à des capacités de traitement spécifiques au terminal et connues uniquement de celui-ci, notamment la puce GPS quand elle est présente, à défaut l'antenne GSM ou, comme en l'espèce, le point d'accès Wi-Fi. Une fois ces données collectées par le terminal, sur lequel il a été préalablement nécessaire d'installer l'application de la société, ces données sont envoyées aux serveurs de la société (en l'occurrence la base [...], localisée aux Etats-Unis) pour renvoyer à l'utilisateur la carte correspondant à sa localisation, en France.

Il découle donc de ce qui précède que la mise en œuvre du service [...] repose, à tout le moins partiellement, sur le recours à des moyens de traitement déployés sur le territoire français, c'est-à-dire tant les véhicules [...] que les terminaux des utilisateurs, utilisés à des fins de géolocalisation.

C'est pourquoi la formation restreinte considère, contrairement à ce que soutient la société, que celle-ci met en œuvre des moyens de traitement situés sur le territoire national, et que la loi française est applicable aux traitements réalisés dans le cadre de la mise en œuvre du service [...] en France.

La formation restreinte estime, enfin, que la société ne saurait indiquer que la CNIL n'aurait jamais considéré le défaut de déclaration du service [...] comme un manquement avant le prononcé de la mise en demeure du 26 mai 2010, alors que deux courriers émanant du président de la CNIL, en date des 14 mai 2009 et 20 avril 2010, versés aux débats, rappelaient l'applicabilité de la loi à ce service et invitaient la société à déclarer [...].

Dans ces conditions, elle constate que la société n'a pas satisfait à l'obligation de déclaration de ce traitement au jour de l'audience. Elle constate donc que la société n'a pas satisfait à la demande faite en ce sens dans la mise en demeure.

6. Sur le manquement au respect de la vie privée et des libertés individuelles

L'article 1er de la loi du 6 janvier 1978 modifiée dispose que "l'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques".

Aux termes de la mise en demeure n° 2010-216 du 26 mai 2010, il était reproché à la société un manquement au respect de la vie privée et des libertés individuelles, lié à la collecte, l'enregistrement et la conservation par la société X de données issues de bornes Wi-Fi, susceptibles de contenir des informations sur les sites internet consultés par les personnes concernées, sur le contenu de messages échangés ainsi que les identifiants et mots de passe permettant de se connecter à certains sites.

Le bureau de la Commission a par conséquent enjoint à la société de cesser toute collecte de données à l'insu des personnes concernées dans le cadre du traitement [...], s'agissant en particulier des identifiants de réseaux Wi-Fi (SSID), des adresses MAC de routeurs Wi-Fi et des données de connexion issues de bornes Wi-Fi.

Dans sa réponse à la mise en demeure, la société a confirmé avoir arrêté toute collecte de données Wi-Fi au moyen de voitures [...], comme cela a été publiquement annoncé dans son blog officiel du 14 mai 2010. Elle soutient dès lors que ce manquement avait cessé au jour de l'audience, avant même le prononcé de la mise en demeure.

La formation restreinte estime, sur ce point, que l'engagement pris par une société par voie de communiqué ne saurait interdire à la CNIL de veiller au respect de la loi, y compris de manière contraignante, par l'adoption d'une mise en demeure. Celle-ci se justifiait d'autant plus que les faits reprochés à la société avaient un retentissement international à cette époque, et que la société avait attesté de leur gravité dans ses propres déclarations.

Sur le fond, la formation restreinte ne saurait davantage retenir l'argument selon lequel les personnes concernées n'auraient subi aucune atteinte à leurs droits et libertés en l'absence de toute réutilisation de ces données, et que ce manquement ne serait dès lors pas avéré.

Bien au contraire, elle estime que cette violation est qualifiée dès lors qu'une quantité considérable de données a été captée à l'insu des personnes sur une grande partie du territoire national, et que ces données sont, par essence, de nature extrêmement personnelle (identifiants, mots de passe, données de connexion permettant d'identifier les sites consultés, échanges de courriels). Elle relève en particulier que les données collectées révèlent, pour certaines d'entre elles, l'orientation sexuelle des personnes ou leur état de santé, c'est-à-dire des données sensibles au sens de la loi informatique et libertés.

La formation restreinte considère par conséquent que la collecte litigieuse a été opérée en contradiction avec l'article 1er de la loi du 6 janvier 1978 modifiée, et que des atteintes à la vie privée, au secret des correspondances et à la liberté d'expression ont été commises.

Cependant, elle estime que l'engagement pris par la société de cesser la collecte, l'enregistrement et la conservation de données issues de bornes Wi-Fi est effectivement de nature à avoir fait cesser cette violation.

En outre, bien que l'intégralité du code source du logiciel mis en cause, qui seul permettrait formellement à la CNIL de s'assurer de la cessation du manquement reproché, n'ait pas été fourni à la Commission, la formation restreinte constate que les services de la Commission ont pu établir que la cessation de cette collecte était effective lors des missions de contrôle diligentées auprès de la société.

Elle estime, de ce fait, que ce chef de manquement ne saurait être retenu pour fonder une sanction à l'encontre de la société.

7. Sur le manquement à l'obligation d'effectuer une collecte licite et loyale des données

Aux termes du 1° de l'article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée, "les données à caractère personnel doivent être collectées et traitées de manière loyale et licite".

Aux termes de la mise en demeure n° 2010-216 du 26 mai 2010, il était reproché à la société un manquement à l'obligation d'effectuer une collecte loyale et licite des données, lié à la collecte des identifiants des réseaux Wi-Fi (SSID), des adresses MAC des routeurs Wi-Fi ainsi que des données de connexion issues de bornes Wi-Fi, [...] effectuée à l'insu des personnes concernées . Le bureau de la Commission a par conséquent enjoint à la société de veiller à ne plus collecter de données à caractère personnel de manière déloyale ou illicite dans le cadre du traitement [...].

Dans sa réponse à la mise en demeure, la société indique que bien qu'il ne soit pas établi que X ait collecté des données personnelles de manière déloyale ou illégale dans le cadre du service [...] ou de la collecte de données Wi-Fi, [elle confirme] que X a arrêté de collecter toutes données Wi-Fi au moyen de [...] et souhaite continuer à collaborer avec les autorités dans ce dossier . La société rappelle en outre avoir pris l'engagement de cesser toute collecte de données Wi-Fi par le biais de ses [...].

Le rapporteur devant la formation restreinte maintient que la collecte des données Wi-Fi réalisées par les [...], dont des données de contenu, a été opérée de manière déloyale, puisqu'à l'insu des utilisateurs concernés, ceux-ci n'ayant a fortiori pas été informés de leurs droits.

Si la société a indiqué ne plus procéder à la collecte de ces données par le biais des [...] à la suite de la mise en demeure, le rapporteur a relevé qu'elle n'a pas pour autant renoncé à utiliser les données ainsi collectées aux fins de fournir ses services de géolocalisation. Attesterait de ce fait la modification de la déclaration effectuée auprès de la CNIL, relative au service [...], qui comprend l'ajout aux données collectées des identifiants des réseaux Wi-Fi ainsi que des adresses MAC des routeurs Wi-Fi.

Le rapporteur a ainsi considéré que la société n'apportait pas d'éléments propres à établir l'absence du caractère déloyal et illicite de la collecte de données Wi-Fi dans le cadre du service [...], et laissait à tout le moins persister un doute quant à ses intentions s'agissant des adresses MAC et identifiants Wi-Fi déjà collectées.

Pour sa défense, la société maintient qu'elle n'a procédé à aucune collecte illicite et déloyale en ce qui concerne la collecte de données de contenu par les véhicules [...]. Elle admet certes une erreur sur ce point, mais soutient n'avoir jamais eu l'intention de collecter les données enregistrées par ces véhicules.

Elle conteste par ailleurs avoir manqué à ses obligations légales en matière d'information des personnes quant à la collecte des adresses MAC et des identifiants SSID. Elle soutient en effet qu'un effort disproportionné lui serait nécessaire pour fournir les informations requises par la loi à chacune des personnes concernées (à supposer que celles-ci soient connues), ce qui l'exonérerait de ses obligations en application de l'article 32-III de la loi informatique et libertés. Cet article prévoit en effet que ces dispositions (relatives à l'information des personnes) ne s'appliquent pas (...) lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche.

La formation restreinte retient, sur ce point, que la société a effectivement pris l'engagement de cesser toute collecte de données issues de bornes Wi-Fi, sécurisées ou non sécurisées (adresses MAC, identifiants SSID et contenu de communications) au moyen des véhicules [...], et que cet engagement a été pris antérieurement à la mise en demeure.

Toutefois, elle relève que les écritures de la société indiquent qu'elle continuera effectivement à utiliser les adresses MAC et les identifiants SSID des utilisateurs des réseaux Wi-Fi ainsi collectés pour fournir ses services de géolocalisation, dont il est établi qu'elles ont été collectées à l'insu de leurs titulaires.

En outre, elle comprend des explications fournies par la société, lors des contrôles et à l'audience, que l'alimentation de la base [...] en données Wi-Fi se fera non plus par le biais des [...], mais par celui des terminaux mobiles des utilisateurs de ses services de géolocalisation ( smartphones , ordinateurs portables, etc.). Or elle constate que la société n'informe pas davantage les titulaires de réseaux Wi-Fi dont elle collecte désormais les données par ce biais.

Dans les deux hypothèses, un tel défaut d'information ne saurait être accepté par principe, dès lors que ces données doivent être considérées comme des données à caractère personnel au sens de la loi.

La formation restreinte admet, à cet égard, que l'information individuelle des titulaires des adresses MAC et des identifiants Wi-Fi est effectivement impossible à mettre en œuvre dans de telles circonstances, dès lors qu'aucun lien direct n'existe entre la société et ces personnes, y compris au moment où la société collecte leurs données via les terminaux des utilisateurs de ses services de géolocalisation.

Pour autant, elle estime que la société ne saurait s'exonérer d'une information générale sur la collecte de ces données et sur les droits des personnes à cet égard. A titre de comparaison, elle relève que la société a mis en œuvre de nombreuses mesures d'information générale portant sur la collecte de photographies par les [...], que ce soit dans la presse locale ou par la mise en ligne d'information sur le site Internet de la société en .fr, à l'effet de permettre aux personnes de s'opposer à la diffusion des données les concernant, en ligne sur ce même site.

La formation restreinte estime, dès lors, que le caractère déloyal de la collecte des données concernées perdure, au moins en partie, et constitue de ce fait un manquement persistant aux termes de la mise en demeure du 26 mai 2010.

8. Sur l'insuffisance des réponses apportées aux demandes de la Commission

L'article 21 alinéa 2 de la loi du 6 janvier 1978 modifiée dispose que "les ministres, autorités publiques, dirigeants d'entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s'opposer à l'action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche".

Aux termes de la mise en demeure n° 2010-216 du 26 mai 2010, il était reproché à la société d'avoir fourni des réponses insuffisantes aux demandes de la CNIL, en particulier dans le cadre des contrôles effectués en décembre 2009 et janvier 2010.

La mise en demeure relevait ainsi que le véhicule présenté à la délégation lors du contrôle du 18 janvier 2010 ne comportait pas de disque dur, empêchant tout examen de ce dernier.

Il était également reproché à la société de n'avoir pas fourni à la Commission une copie de l'ensemble des données relatives au contenu issu des bornes Wi-Fi pour la France dans le délai imparti lors du contrôle sur place effectué le 19 mai 2010.

Le bureau de la Commission a par conséquent enjoint à la société de communiquer à la Commission les informations et copies demandées lors du contrôle sur place effectué le 19 mai 2010, telles qu'elles figurent au procès-verbal, en particulier fournir à la CNIL une copie sur support informatique de l'ensemble des données recueillies en France, par le biais des bornes WI-FI, dans le cadre du traitement [...]. Elle a par ailleurs demandé à la société de justifier auprès de la CNIL que l'ensemble des demandes précitées a bien été respecté dans le délai imparti.

La société a répondu à la mise en demeure comme suit :

En premier lieu, elle dit avoir remis, lors du contrôle du 4 juin 2010, une copie du rapport d'audit réalisé à sa demande par le cabinet d'audit Z, une copie du dernier disque dur envoyé aux Etats-Unis issue d'une opération de collecte effectuée par un véhicule [...] en France ainsi qu'une copie des données relatives au contenu issu des bornes Wi-Fi pour la France, isolée par X.

En second lieu, elle ajoute avoir remis le code source du programme informatique utilisé dans les véhicules [...] ayant permis la collecte des données de contenu, en rappelant qu'elle considérait la demande comme visant uniquement le logiciel ayant permis la collecte de données Wi-Fi, et non l'ensemble des logiciels installés dans les véhicules.

En troisième lieu, s'agissant du code source du logiciel utilisé lors de la reprise des opérations de collecte, elle rappelle avoir cessé de collecter des données relatives aux réseaux Wi-Fi au moyen de véhicules [...]. Elle indique qu'elle remettra à la CNIL une copie du ou des nouveaux logiciels mis en œuvre, n'incluant pas de fonctionnalités de collecte de données Wi-Fi dès que ces éléments seront disponibles.

Pour autant, le rapporteur estime que la société a répondu de manière insatisfaisante aux demandes de la CNIL.

Il reproche à celle-ci une particulière légèreté, sinon une réticence à informer la Commission, lors des contrôles diligentés par la CNIL le 11 décembre 2009 et le 18 janvier 2010, du fait qu'outre des photographies et des données GPS, les véhicules [...] enregistraient également des adresses MAC et des identifiants SSID.

Il relève également que la société a dévoilé l'enregistrement des données de contenu non par un courrier spécifique, mais par la voie d'un communiqué de presse, publié le 14 mai 2010, alors que la CNIL l'avait interrogée par trois fois entre décembre 2009 et février 2010 sur la collecte opérée.

Sur le fond, le rapporteur reproche encore à la société sa réticence à communiquer à la Commission le code source mis en œuvre au sein des véhicules. Selon lui, la société se serait réfugiée derrière une interprétation restrictive des demandes de la Commission pour ne lui communiquer que le code source du logiciel [...] ayant permis la collecte des données Wi-Fi, celui-ci ne répondant d'aucune manière à la demande exprimée dans la mise en demeure, qui visait spécifiquement la partie du code ayant conduit à collecter les données relatives au contenu issues des bornes Wi-Fi.

La communication tardive de nouveaux éléments de code source, par un courriel du 12 juillet 2010, ne ferait pas davantage droit à la demande visée par la mise en demeure, ces derniers éléments ne permettant pas de déterminer le fonctionnement du logiciel de collecte de données de contenu issues de bornes Wi-Fi, dès lors qu'il se limite au code du lancement de l'outil de collecte des données Wi-Fi.

Selon le rapporteur, la société s'est donc abstenue de répondre à la mise en demeure et se serait même contentée de procédés dilatoires, en fournissant comme seul élément d'analyse de son logiciel de collecte un rapport d'audit établi à sa demande.

La société s'est de nouveau défendue sur ce point, dans ses écritures et à l'audience.

Elle soutient que le véhicule contrôlé le 18 janvier 2010 ne comportait aucun disque dur en raison d'une incompréhension sur ce point des intentions des agents de la CNIL. Elle indique que la présence d'antennes Wi-Fi sur le toit du véhicule démontre bien que la société n'a, aucun moment, cherché à cacher à la CNIL que celui-ci collectait des adresses MAC et des identifiants SSID. Elle soutient que ces faits sont antérieurs à la mise en demeure et ne sauraient dès lors justifier l'adoption d'une sanction pécuniaire sur le fondement des textes en vigueur.

Par ailleurs, concernant le code source ayant permis la collecte de données Wi-Fi, la société conteste le fait que la loi permette à la CNIL de demander la communication de codes-sources sur le fondement de son article 44-III : si celui-ci prévoit que les agents de la CNIL peuvent accéder aux programmes informatiques et aux données dans le cadre de missions de contrôles, ainsi qu'en demander la transcription, il ne fait en revanche pas référence aux codes sources de logiciels. Ce ne serait qu'en raison de sa volonté de coopérer avec la CNIL que la société aurait, malgré tout, décidé de communiquer celui-ci. Par ailleurs, la société estime que la partie du code fournie aux agents de la CNIL leur permettait de procéder aux vérifications qu'ils souhaitaient.

Enfin, concernant le code source utilisé après la remise en circulation des [...], la société soutient que malgré les incidents soulevés par le rapporteur, ceux-ci n'ont pas empêché les agents de la CNIL de constater que les antennes Wi-Fi avaient été retirées des véhicules, et que, par conséquent, ceux-ci ne collecteraient plus aucune donnée provenant de bornes Wi-Fi. La société n'aurait par ailleurs remis ses véhicules en circulation qu'après en avoir ôté les dispositifs d'enregistrement de données Wi-Fi.

La formation restreinte retient, sur ce point, les éléments suivants :

Si la collecte contestée de données Wi-Fi peut être imputée à tout le moins à une négligence caractérisée dans l'élaboration d'un programme aussi massif de collecte de données, d'autant plus critiquable que celui-ci émane d'un acteur dominant du marché, il ne ressort pas des faits de l'affaire que les réactions de la société face aux exigences formulées par la CNIL pendant l'instruction revêtent la même qualification. Dès lors, la formation restreinte ne retient pas la mauvaise foi à l'encontre de la société pour qualifier ses relations avec la CNIL dans cette affaire.

En revanche, il est établi par ailleurs que tant l'ancien que le nouveau codes sources du logiciel de collecte n'ont pas été communiqués à la CNIL, puisque seuls des éléments partiels du code source initial, et aucun élément du nouveau code source ne lui ont été fournis.

En ce qui concerne l'ancien code source : il est établi que l'analyse du code source fourni par la société lors du contrôle du 4 juin 2010 a révélé que seule a été adressée à la CNIL une fraction du logiciel de collecte de données Wi-Fi, correspondant à l'enregistrement de données de position GPS. Il est également établi que l'analyse du correctif à ce logiciel, envoyé par la société en juillet 2010, a révélé que seule a été adressée à la CNIL la partie du code source correspondant au seul lancement du logiciel. La CNIL a donc dû se contenter du rapport d'un cabinet d'audit, établi à la demande de la société elle-même, pour comprendre le fonctionnement du logiciel [...], et plus généralement le fonctionnement des logiciels installés dans les [...].

En ce qui concerne le nouveau code source : le fait que la CNIL ait pu constater l'absence de clé Wi-Fi sur un des 22 véhicules [...] remis en circulation en France est, certes, un élément de nature à l'assurer de la sincérité de l'engagement pris par la société de ne plus collecter de données Wi-Fi. Il ne saurait toutefois se substituer à la fourniture du code demandé, qui seul lui permettrait de s'assurer de l'impossibilité de cette collecte pour l'ensemble des véhicules en circulation. L'attente de la CNIL en la matière est d'autant plus légitime que la société s'était engagée à lui remettre une copie du ou des nouveaux logiciels mis en œuvre, n'incluant pas de fonctionnalités de collecte de données Wi-Fi, dès que ces éléments seront disponibles - et ce, dès avant l'adoption de la mise en demeure adoptée par le bureau le 26 mai 2010. Or les véhicules sont actuellement en circulation sur le territoire, et tel n'a pourtant pas été le cas.

Par ailleurs, et à l'évidence, la formation restreinte ne saurait souscrire à la lecture restrictive que fait la société de l'article 44 de la loi du 6 janvier 1978 pour se soustraire à la communication de ces codes sources. Les dispositions de cet article prévoient en effet que les agents de la CNIL peuvent obtenir communication et copie de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, lors de missions de contrôle. La notion de document doit être entendue de façon large, afin de permettre à la CNIL d'exécuter ses missions. En l'occurrence, cette notion doit être entendue comme recouvrant les codes-sources du logiciel à l'origine de la collecte de données Wi-Fi.

Ainsi, la non-communication de ces codes sources fonde le reproche que fait le rapporteur à la société de ne pas avoir coopéré avec la Commission dans le cadre des missions de contrôle diligentées auprès de la société Y, et met ainsi la société en contradiction avec les exigences ultérieurement posées par la mise en demeure.

9. Sur les avantages retirés des manquements commis par la société X

Il est acquis que la société a tiré d'importants avantages de la collecte des adresses MAC et SSID dans cette affaire, celle-ci reconnaissant ce fait dans ses écritures.

De fait, la collecte de ces données, notamment les adresses MAC des utilisateurs, a permis à la société d'enrichir ses bases de données de localisation au moyen des adresses MAC de routeurs Wi-Fi, enregistrées par ses [...] en mouvement. Les données collectées confèrent à la société un avantage indéniable sur ses concurrents, lui permettant d'offrir des services de géolocalisation performants. Les services de géolocalisation proposés par la société, qui génèrent un trafic très important, sont par là-même susceptible de générer des ressources publicitaires, lesquelles constituent l'essentiel du chiffre d'affaires de la société.

En effet, le service [...], qui intègre les services [...], permet d'effectuer des recherches de services ou commerces à proximité de la position de l'utilisateur géolocalisé. Les résultats affichés en retour comprennent notamment des liens commerciaux, payés par les annonceurs à X Un lien vers le moteur de recherche de X figure également dans [...].

La collecte de dizaines de milliers de points d'accès Wi-fi par le biais des [...] a permis à la société de constituer une importante base de données de géolocalisation, et par conséquent d'acquérir une position dominante dans le secteur des services de géolocalisation. Outre cet avantage indéniable, la société bénéficie par ailleurs du fait qu'il ne lui est désormais plus nécessaire de collecter par elle-même de nouvelles données Wi-Fi pour que la base [...] reste opérationnelle. En effet, lors de leur connexion, les terminaux des utilisateurs détectent non seulement les points d'accès figurant dans la base mais aussi, le cas échéant, de nouveaux points d'accès situés à proximité, ou ceux ayant disparu : ces informations sont alors enregistrées automatiquement par la société aux fins d'enrichir et de mettre à jour la base [...]. De ce fait, la collecte de données Wi-Fi par les [...] n'est effectivement plus nécessaire, la collecte de données émises automatiquement par les terminaux des utilisateurs étant désormais suffisante pour assurer la pérennité des services de géolocalisation mobile offerts par la société.

La société a ainsi acquis un niveau technique lui conférant un avantage concurrentiel indéniable. Elle retire de cette situation, à l'évidence, un avantage économique du fait qu'elle peut offrir à ses utilisateurs de nouveaux services de géolocalisation, lesquels génèreront eux-mêmes de l'audience et par conséquent de nouvelles recettes publicitaires.

Par ailleurs, en estimant que le traitement des données ainsi collectées sur le territoire français ne relève pas de la loi du 6 janvier 1978 modifiée, la société s'est affranchie des obligations légales lui incombant, notamment en matière d'accomplissement de formalités préalables auprès de la CNIL et d'information des personnes. Cette situation perdure depuis le lancement du service [...] en France, c'est-à-dire depuis février 2009.

La société a retiré également un avantage organisationnel des manquements constatés, en l'absence de mesures appropriées prises pour assurer en amont la sécurité juridique du projet [...], et en aval le respect du droit d'opposition des personnes. Ces manquements doivent en outre être rapportés à la grande sensibilité du projet, à son ambition de couverture de l'intégralité du territoire français, et à l'importance des moyens dont dispose la société.
La société a donc retiré d'importants avantages des manquements qu'elle a commis dans cette affaire.

10. Sur les manquements constatés

En conséquence, eu égard à la persistance de certains des manquements constatés dans la mise en demeure prononcée par la formation restreinte le 26 mai 2010, la société X verra prononcer à son encontre une sanction pécuniaire d'un montant de 100 000 € (cent mille euros).

11. Sur la publicité de la délibération

Eu égard à la nature et à la gravité des manquements commis ainsi qu'à la nécessité, d'une part, pour les personnes physiques de connaître les règles relatives à la protection de leurs données à caractère personnel et, d'autre part, pour les responsables de traitement de mieux appréhender les règles qui s'imposent à eux, la délibération de la Commission sera rendue publique sur le site internet de la CNIL et sur le site internet Légifrance.

En revanche, cette délibération ne fera pas l'objet de mesure d'insertion dans la presse, en l'absence de mauvaise foi établie au sens de l'article 46 de la loi du 6 janvier 1978 modifiée.

PAR CES MOTIFS

Conformément au I de l'article 45 de la loi du 6 janvier 1978 modifiée, la formation restreinte de la CNIL, après en avoir délibéré, décide :

- de prononcer à l'encontre de la société X une sanction pécuniaire de 100 000 € (cent mille euros) ;

- de rendre publique cette décision sur le site internet de la CNIL et sur le site internet Légifrance.

La société X dispose d'un délai de deux mois à compter du jour de la notification de la présente décision pour exercer un recours devant le Conseil d'Etat à son encontre.

Paris, le

Le Président,

Alex TÜRK

Retourner en haut de la page