Délibération 2012-156 du 1 juin 2012

Commission Nationale de l'Informatique et des Libertés
Délibération n°2012-156 du 1 juin 2012
Délibération de la formation restreinte n°2012-156 du 1er juin 2012 portant avertissement à l’encontre de la société X
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés, réunie en sa formation restreinte sous la présidence de Mme Claire DAVAL ;

Etant aussi présents MM. Jean-Marie COTTERET, Jean-François CARREZ, Claude DOMEIZEL et Dominique RICHARD, membres ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la Directive n°95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2011-334 du 29 mars 2011, notamment ses articles 45 et 46 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié, pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu l'ordonnance du juge des libertés et de la détention du tribunal de grande instance de Paris du 21 novembre 2011 ;

Vu la décision n° 2011-293C du 22 novembre 2011 de la Présidente de la Commission nationale de l'informatique et des libertés ordonnant une mission de vérification auprès de la société X ;

Vu le rapport de M. Bernard PEYRAT, commissaire rapporteur, adressé par huissier de justice à la société X, le 23 mars 2012 ;

Vu les observations écrites versées par la société le 27 avril 2012, ainsi que les observations présentées oralement lors de la séance de la formation restreinte du 3 mai 2012 ;

Vu la note en délibéré versée par la société par courrier en date du 29 mai 2012, parvenue à la Commission le 31 mai ;

Vu les autres pièces du dossier ;

Ayant entendu, lors de la réunion de la formation restreinte du 3 mai 2012 :
- M. Bernard PEYRAT, commissaire, en son rapport ;

- Mme Catherine POZZO DI BORGO, commissaire adjointe du Gouvernement, en ses observations ;

- MM. XX et YY, assisté de Me ZZ, avocat, leur conseil, en la défense de la société;

Ces derniers ayant pris la parole en dernier,
À adopté la décision suivante :

I. FAITS ET PROCÉDURE

La société X (ci-après, la société) édite le site Internet [...], également accessible en version anglaise à l'adresse [...].

Le service développé par la société consiste à rechercher des informations relatives à des personnes physiques, telles qu'elles ont été rendues publiques sur les réseaux sociaux, pour les agréger sous forme de fiches nominatives. Les informations agrégées sont initialement présentées sur une première page dans un format carte de visite regroupant les noms et prénoms, photographies, expériences, formations et localités des personnes ; dans un second temps, en cliquant sur un lien voir le profil, la personne à l'origine de la recherche accède à des informations complémentaires, présentées sous la forme d'un curriculum vitae intégrant les parcours étudiant et professionnel de la personne sur laquelle porte la recherche.

Le service offert par la société indique par ailleurs le nom, et le cas échéant les photos des personnes détenant également un profil sur ce site, présentées comme étant en relation avec l'intéressé, un graphique reliant de manière visuelle ces personnes entre elles, ainsi que des résultats de recherche listant les images et les autres sites Internet détenant des informations sur la personne, ces résultats renvoyant à des sites tiers.

Entre le mois de février 2011 jusqu'au 23 mars 2012, date à laquelle a notifié le rapport du rapporteur sollicitant de la formation restreinte qu'elle prononce une sanction en l'espèce, la Commission nationale de l'informatique et des libertés (ci-après la Commission ) a été saisie de nombreuses plaintes (en tout, plus d'une trentaine) émanant de personnes résidant tant en France qu'à l'étranger concernant la mise en œuvre du service offert par la société. Certaines de ces plaintes lui ont été transmises par ses homologues européens ou par la société hébergeant le site litigieux, que les plaignants contactaient par défaut, en l'absence de réponse de la société à leurs diverses demandes.

Les plaintes reçues portaient, notamment, sur l'absence de procédure effective permettant aux personnes de s'opposer à la diffusion des informations les concernant, ainsi que sur la diffusion de données privées n'apparaissant plus dans les profils publics des personnes concernées sur les réseaux sociaux.

La Commission a interrogé la société à de nombreuses reprises dans le cadre de l'instruction de ces plaintes. La plupart des courriers lui ayant été adressés à cette fin sont restés sans réponse, ou n'ont pas reçu de réponse satisfaisante.

Dans ces conditions, la Présidente de la Commission a ordonné, par décision n° 2011-293C du 22 novembre 2011, qu'une mission de vérification soit diligentée auprès de la société. Le contrôle programmé le 28 novembre 2011 n'a cependant pu se dérouler, l'adresse du siège de la société se révélant être une simple domiciliation postale. Par courriers recommandés avec avis de réception adressés les 29 novembre et 1er décembre 2011, la Commission a convoqué les représentants de la société dans les locaux de la Commission pour audition, sur le fondement de l'article 44-III de la loi du 6 janvier 1978 modifiée. Cette tentative d'audition n'a pas davantage prospéré, ces derniers ne s'étant pas présentés à l'audition ordonnée par la Présidente de la Commission. Un procès-verbal a été dressé immédiatement et notifié à la société par courrier recommandé avec avis de réception du 22 décembre 2011.

À défaut de pouvoir apprécier de manière contradictoire les conditions de mise en œuvre des traitements litigieux, la Commission a fait dresser plusieurs constats d'huissier (en date des 26 décembre 2011, 30 décembre 2011, et 19 mars 2012) attestant notamment de la diffusion, sur le site de la société, de données relatives à des personnes ayant expressément demandé que leurs données n'y soient plus diffusées.

Au vu des faits précités, par décision en date du 19 mars 2012, la Présidente de la Commission a désigné M. Bernard PEYRAT, Commissaire, membre de la CNIL, en qualité de rapporteur, afin d'engager à l'encontre de la société une procédure de sanction fondée sur le I de l'article 45 de la loi du 6 janvier 1978 modifiée.

À l'issue de son instruction, considérant que la société avait manqué à plusieurs obligations lui incombant en application de la loi du 6 janvier 1978 modifiée à notifié par huissier le 23 mars 2012 un rapport détaillant ces manquements. Ce rapport demandait également à la formation restreinte de la Commission de prononcer à l'encontre de la société un avertissement, dont il sollicitait par ailleurs qu'il soit rendu public. A cette fin était également jointe au rapport une convocation à la séance de jugement de la formation restreinte du 3 mai 2012.

La société, par courrier en date du 27 avril 2012, a adressé à la Commission ses observations sur le rapport. Elle a également présenté ses observations orales lors de la séance de la formation restreinte du 3 mai 2012.

II. MOTIFS DE LA DÉCISION

1. Sur le manquement à l'obligation de mettre à jour les données

Aux termes du 4° de l'article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée, les données sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées.

Il appartient à la formation restreinte de se prononcer sur la conformité à ces dispositions des procédures mises en œuvre par la société.

En effet, il est reproché à la société d'avoir diffusé, et ce encore le jour-même de l'audience, des informations enregistrées dans la partie privée de leurs profils sur les réseaux sociaux, ou des informations initialement rendues publiques, mais que les personnes ont ensuite choisi de faire basculer dans la partie privée de leurs profils.

La société ne conteste pas la réalité des faits reprochés sur ce point, qu'elle explique par la lenteur du processus de mise à jour des informations qu'elle diffuse sur ses propres pages. Il ressort en effet clairement des débats contradictoires que cette situation s'explique par l'unique fait que les données litigieuses ont été indexées alors qu'elles figuraient sur des profils de réseaux sociaux ouverts, mais qui ont été fermés par leurs propriétaires depuis lors. Seule la mise à jour régulière des bases de la société aurait pu permettre à celle-ci de ne diffuser sur son site que des informations rendues publiques par les personnes.

Pour sa défense, la société soutient qu'elle ne disposait pas jusqu'à présent des ressources financières nécessaires à l'acquisition de nouveaux serveurs, et ne pouvait donc pas disposer d'une puissance de calcul suffisante pour mettre à jour les données qu'elle diffuse le plus régulièrement possible. Tant dans ses écritures qu'oralement lors de l'audience, elle a pris l'engagement de consacrer plus d'un quart de la récente levée de fonds récemment obtenue à cette fin, et de recruter deux ingénieurs informaticiens pour gérer ses bases de données et son parc informatique. De ce fait, selon elle, l'ensemble des données actuellement stockées par la société sera intégralement mise à jour d'ici deux à trois mois.

La formation restreinte relève, à cet égard, que les engagements pris par la société pour le futur ne font pas disparaître les manquements passés, ce d'autant qu'il a été constaté que ceux-ci persistaient encore au jour de la séance.

Or, il s'avère que l'absence de mise à jour des données stockées par la société a conduit à la diffusion, par celle-ci, de données dont qui n'étaient plus diffusées sur les profils publics des personnes concernées, ce que la société a reconnu lors de l'audience.

Ainsi, les données dont les personnes ont clairement manifesté le caractère privé en ne les faisant plus figurer dans la partie publique des réseaux sociaux ont été non seulement diffusées sur les sites [...] ou [...], mais également, par répercussion, référencées par les moteurs de recherche tels que Bing, Google et Yahoo !.

Il apparaît donc, ce que la société ne conteste au demeurant pas, qu'en ne procédant pas à la mise à jour régulière de ses bases, la société a privé de toute effectivité la possibilité, pour les personnes, de faire respecter les droits leur étant garantis par la loi du 6 janvier 1978 modifiée. Plus généralement, elle a permis la diffusion de données périmées, provoquant des préjudices d'image et de réputation aux personnes concernées, susceptibles d'être d'autant plus grands que les informations et images figurant sur des réseaux sociaux ou des blogs, par nature, évoluent très rapidement.

En développant une activité commerciale basée sur l'indexation des données de personnes sur les réseaux sociaux, la société X devait tenir compte de cette réalité technologique dès sa conception, en prévoyant de procéder à des mises à jour régulières sur l'ensemble des données collectées. Il est établi, en l'espèce, que tel n'a pas été le cas.

Dans ces conditions, la formation restreinte conclut que la société ne s'est pas mise en mesure de se conformer aux dispositions du 4° de l'article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée, dont elle n'a, de ce fait, pas respecté les termes.

2. Sur le manquement à l'obligation de respecter le droit d'opposition

Aux termes de l'article 38 de la loi n° 78-17 du 6 janvier 1978 modifiée, Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. Elle a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur (...).
Il appartient à la formation restreinte de se prononcer sur la conformité à ces dispositions des pratiques de la société.

En défense, la société soutient avoir à tout le moins partiellement satisfait à son obligation de respecter les dispositions ci-dessus. En effet, elle a mis en œuvre une procédure permettant aux personnes d'exercer leur droit d'opposition de manière automatique, et répondu dans toute la mesure de ses moyens aux demandes d'opposition formées par les internautes. Elle soutient, en outre, avoir satisfait à plusieurs demandes directement, indépendamment de toute intervention de la CNIL.

Sur ce point, la formation restreinte constate, en premier lieu, qu'il n'est pas contesté que de nombreuses demandes d'opposition ont été formées par les personnes auprès de la société sans que celle-ci y donne une suite satisfaisante.

Elle relève, en second lieu, que les faits évoqués dans les plaintes reçues par la Commission, notamment la plainte n°1019766, révèlent que la procédure d'opposition mise en place par la société s'avère pour le moins paradoxale. En effet, cette procédure impose aux personnes refusant qu'un profil à leur nom figure sur le site X d'accepter au préalable la prise en main de leur profil afin d'exprimer ensuite leur refus. Or, une telle procédure implique de créer un compte sur le site-même dont les personnes souhaitent être désinscrites, qui plus est en sollicitant la fourniture d'informations complémentaires, telles que leur adresse électronique.

En troisième lieu, il ressort des règles de protection de la vie privée accessibles, au jour de l'audience, à l'adresse [...] qu'il était impossible à une personne de s'opposer à la diffusion, sur le site X, de données qu'elle aurait rendues publiques sur d'autres sites. Or, la loi du 6 janvier 1978 modifiée n'impose aucune condition particulière à l'exercice du droit d'opposition des personnes, si ce n'est l'existence d'un motif légitime, qui ne saurait être contesté en l'espèce. En effet, il est parfaitement légitime que les personnes s'opposent à la diffusion de données qu'elles ont, certes, elles-mêmes divulguées, mais dont elles peuvent parfaitement ne pas pour autant souhaiter qu'elles soient agrégées sous une forme telle que celle retenue par la société en l'espèce (diffusion des informations sous la forme d'un curriculum vitae ; association de photos de personnes tierces présentées comme étant en relation avec l'intéressé ; graphique reliant de manière visuelle ces personnes entre elles, etc.).

Sur l'ensemble de ces points, la société reconnaît au demeurant que ses efforts n'ont pas été suffisants. Elle admet également avoir manqué à son obligation de respecter le droit d'opposition de manière systématique et diligente, ce qu'elle explique par le fait qu'étant à peine issue de sa phase de création, elle a manqué des ressources humaines nécessaires pour gérer les demandes d'opposition reçues.

La formation restreinte prend acte, à cet égard, du fait que la société a recruté un salarié dédié à la gestion de la relation avec ses utilisateurs et au traitement des demandes d'exercice du droit d'opposition, dont il est prévu qu'il intègre la société au 1er juin 2012, et qu'elle a également pris l'engagement, dans ses écritures comme à l'audience, de supprimer le profil de l'ensemble des personnes ayant porté plainte auprès de la CNIL, de simplifier sa procédure d'opposition et de réduire les délais de traitement des demandes de suppression.
Pour autant, il n'en est pas moins établi qu'en de nombreuses occasions, la société n'a pas respecté le droit d'opposition garanti aux personnes par la loi.
Or, ici encore, la formation restreinte considère qu'il n'est pas acceptable que le développement d'une activité commerciale reposant exclusivement sur l'indexation des données à caractère personnel de personnes sur les réseaux sociaux ne prenne pas en compte, dès sa conception, des procédures permettant à ces personnes de faire respecter leurs droits de manière effective, rapide, et durable.

Dans ces conditions, sans préjuger de l'effectivité des mesures prises par la société pour se conformer aux règles applicables à l'avenir, la formation restreinte considère que celle-ci a manqué aux obligations prescrites par l'article 38 de la loi du 6 janvier 1978 modifiée.

3. Sur le défaut de coopération avec la CNIL

L'article 21 alinéa 2 de la loi du 6 janvier 1978 modifiée dispose que les ministres, autorités publiques, dirigeants d'entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s'opposer à l'action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.

En l'espèce, il est reproché à la société de ne pas avoir répondu, ou à tout le moins de ne pas avoir fourni de réponse satisfaisante aux nombreuses demandes de la CNIL.

En effet, la Commission a adressé à la société plus d'une trentaine de courriers, dont une vingtaine en recommandés avec avis de réception. Ces courriers informaient la société de l'existence des plaintes susmentionnées, telles qu'elles lui sont parvenues directement de personnes établies en France ou à l'étranger, ou transmises par ses homologues néerlandais et britannique, et lui demandaient ainsi de procéder à la radiation des coordonnées des personnes concernées de ses bases.

Les courriers en question ont, selon les cas, été adressés soit à l'adresse mentionnée sur le site Internet de la société, soit à l'adresse officielle de son siège social, soit même, en certaines occasions, à l'adresse personnelle de son Président.

Par ailleurs, faute d'avoir pu réaliser un contrôle dans leurs locaux, la Commission a tenté de convoquer les représentants de la société pour audition, à deux reprises, par courriers recommandés avec avis de réception adressés les 29 novembre et 1er décembre 2011. Aucun représentant de la société ne s'est présenté à l'audition, les courriers de convocation ayant été retournés comme non réclamés. Un procès-verbal a été dressé immédiatement et notifié à la société par courrier recommandé avec avis de réception du 22 décembre 2011.

En guise de réponse à ses courriers d'instruction et de convocation, la Commission n'a reçu qu'un courrier de la société, adressé le 12 juillet 2011, concernant la plainte d'un des plaignants (dossier n°11010242), lequel a, de fait, obtenu satisfaction à sa demande.

En défense, la société reconnaît avoir fait preuve de négligence. Elle explique cette situation par le succès que le service offert par la société a connu auprès des internautes, si bien que celle-ci, née d'un projet mené à partir de 2007 par deux étudiants, alors âgés de 21 et 22 ans et dotés de revenus faibles, s'est retrouvée dans l'incapacité de répondre à l'ensemble de ses obligations.

Sur ce, la formation restreinte considère ce qui suit.

Elle peut concevoir que le succès inattendu du service offert par la société ait généré pour celle-ci une charge de travail importante et que celle-ci, de ce fait, n'ait pas eu l'intention délibérée d'entraver les missions de la Commission. Elle n'en relève pas moins que la société a omis de répondre à une trentaine de courriers d'instruction de plaintes, en sus de deux courriers de convocation à audition dans le cadre des missions de contrôle de la Commission.

La formation restreinte considère qu'il n'est pas acceptable que des courriers émanant d'une autorité publique n'aient pas mérité d'attention particulière de la part de la société, au titre des exigences s'imposant de manière prioritaire aux premiers stades du développement de la société. Une telle attitude, si elle ne relève pas de la mauvaise foi, s'apparente à tout de le moins à une forme de négligence inacceptable de la part d'une société qui, aussi jeune et inexpérimentée soit-elle, prétend développer une activité économique basée sur le traitement de données à caractère personnel, et doit à ce titre considérer leur protection comme une exigence fondamentale.
Dans ces conditions, la formation restreinte constate que la société ne s'est pas conformée à l'obligation de coopération avec la Commission qui s'imposait à elle, en application de l'article 21 de la loi du 6 janvier 1978 modifiée.

4. Sur les manquements constatés et la publicité de la décision

Dans ces conditions, et sans qu'il soit besoin de statuer sur les autres manquements, la formation restreinte considère que la société X a violé les dispositions susvisées de la loi du 6 janvier 1978 modifiée, ce qui justifie que soit prononcé à son encontre un avertissement.

La formation restreinte constate par ailleurs que la société, dans le cadre de la procédure initiée devant elle, a fait valoir des assurances quant à une mise en conformité future à la loi du 6 janvier 1978 modifiée. Les mesures annoncées devant elle, si elles sont effectivement mises en œuvre, seront de nature à faire cesser les manquements reprochés.

Cependant, compte tenu du nombre de plaintes reçues, de la nécessité dans laquelle se trouve la formation restreinte d'informer les homologues de la Commission quant au suivi des plaintes lui ayant été transférées, de la nécessité d'informer les personnes physiques des droits qu'elles détiennent en application de la loi du 6 janvier 1978 modifiée, ainsi que de celle d'informer les acteurs économiques concernés de leurs obligations, la formation restreinte décide de rendre publique sa décision.

PAR CES MOTIFS

Conformément aux articles 45 et suivants de la loi du 6 janvier 1978 modifiée, la formation restreinte de la CNIL, après en avoir délibéré, décide :

- De prononcer un avertissement à l'encontre de la société X ;

- De rendre publique sa décision.


La Présidente


Claire DAVAL
Cette décision est susceptible de faire l'objet d'un recours devant le Conseil d'Etat dans un délai de deux mois à compter de sa notification.






Nature de la délibération: AVERTISSEMENT
Date de la publication sur legifrance: 2 juin 2012