Délibération 2016-053 du 1 mars 2016

Commission Nationale de l'Informatique et des Libertés
Délibération n°2016-053 du 1 mars 2016
Délibération de la formation restreinte n° 2016-053 du 1er mars 2016 prononçant un avertissement à l’encontre de la société X
Etat: VIGUEUR

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Jean-François CARREZ, Président, M. Alexandre LINDEN, Vice-président, Mme Marie-Hélène MITJAVILE, M. Philippe GOSSELIN et M. Maurice RONAI membres ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 45 et suivants ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la plainte n° 15003218 reçue le 3 février 2015 ;

Vu la décision n° 2015-082C du 4 mars 2015 de la Présidente de la Commission nationale de l’informatique et des libertés ordonnant une mission de vérification auprès de la société X ;

Vu le procès-verbal de contrôle sur place n° 2015-082 du 15 avril 2015 ;

Vu la décision de la Présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur, en date du 26 novembre 2015 ;

Vu le rapport de M. François PELLEGRINI, commissaire rapporteur, adressé à la société X le 10 décembre 2015 ;

Vu la demande de huis clos reçue le 28 décembre 2015 à laquelle il a été fait droit par lettre du 8 janvier 2016 ;

Vu les observations écrites versées par la société X le 13 janvier 2016, ainsi que les observations orales formulées lors de la séance de la formation restreinte ;

Vu les autres pièces du dossier.

Ayant entendu, lors de la séance de la formation restreinte du 21 janvier 2016 :

- Monsieur François PELLEGRINI, commissaire, en son rapport ;

- Monsieur X ;

- Monsieur Y ;

- Madame Z ;

Madame Catherine POZZO DI BORGO, commissaire du Gouvernement adjoint, n’ayant pas formulé d’observation.

Les représentants de la société X ayant eu la parole en dernier ;

Après en avoir délibéré, a adopté la décision suivante :

  1. Faits et procédure

La société X (ci-après la société) est spécialisée dans les prestations de télécommunications par fibre optique. Elle compte environ un million d’abonnés et emploie, via ses établissements secondaires, près de 1.500 salariés.

La société a présenté en 2014 un chiffre d’affaires d’environ 990 millions d’euros pour un résultat net de près de 122 millions d’euros.

Le 3 février 2015, la Commission Nationale de l’Informatique et des Libertés (ci-après la CNIL ou la Commission) a été saisie d’une plainte à l’encontre de la société émanant de la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (ci-après la Hadopi).

Cette dernière, chargée par le législateur de lutter contre les échanges illicites d’œuvres protégées par le droit d’auteur sur Internet, interroge régulièrement les fournisseurs d’accès à Internet afin d’identifier les titulaires d’adresses IP à partir desquelles des faits de mise à disposition d’œuvres protégées sont constatés.

Dans le cadre de cette procédure, la société X lui a communiqué à 1531 reprises, entre le 26 janvier et le 15 avril 2013, l’identité d’un même abonné (ci-après l’Abonné).

Sur la base de ces éléments, la Hadopi a déposé plainte à l’encontre de cet Abonné sur le fondement du délit de contrefaçon.

Or, l’enquête préliminaire diligentée par le parquet territorialement compétent a révélé que l’Abonné avait été identifié par erreur par la société en raison d’un dysfonctionnement informatique récurrent.

Le 15 avril 2015, en application de la décision 2015-082C du 4 mars 2015 de la Présidente de la CNIL, une délégation de la CNIL a procédé à un contrôle auprès de la société. Le 12 mai 2015 et le 29 septembre 2015, la délégation de contrôle a obtenu de la société et de la Hadopi l’envoi d’informations et de pièces complémentaires.

Les éléments recueillis ont permis d’établir que la société a développé une application informatique lui permettant de traiter de manière automatisée les demandes relatives à l’identification des adresses IP provenant de la Hadopi et des services de police ou de gendarmerie.

Cet outil permettait d’associer les adresses IP transmises par les autorités administratives ou judiciaires aux adresses MAC - adresse physique d’une carte réseau permettant d’identifier de façon unique un équipement sur un réseau local ( Media Access Control ) - des abonnés de la société afin de déterminer l’identité de la personne à laquelle était affecté l’équipement à la date demandée.

Toutefois, lorsque l’application ne parvenait pas à associer une adresse IP à une adresse MAC, elle ne générait pas de message d’erreur mais renvoyait, par défaut, vers des adresses MAC composée uniquement d’une suite de zéro (00:00:00:00:00:00).

Or, la société a enregistré sous cette valeur les adresses MAC correspondant aux équipements de plusieurs abonnés.

C’est ainsi que l’Abonné s’est vu attribuer, à 1531 reprises, les adresses IP non identifiées par l’application informatique et a été mis en cause tant par la Hadopi dans le cadre de son dispositif de réponse graduée que par des services de police et de gendarmerie dans des enquêtes pénales.

La société a en effet précisé avoir à 7 reprises, entre le 28 janvier et le 11 février 2014, transmis par erreur l’identité de l’Abonné à des services de police et de gendarmerie en réponse à des réquisitions judiciaires.

Elle a également indiqué avoir corrigé ce dysfonctionnement découvert à l’occasion d’une demande d’information adressée par un service de police le 26 septembre 2014.

Au vu des constats opérés et des pièces communiquées révélant des défaillances sur l’exactitude des données à caractère personnel des abonnés de la société, la Présidente de la Commission a décidé, le 26 novembre 2015 et sur le fondement de l’article 46 de la loi n°78-17 du 6 janvier 1978 modifiée (ci-après loi Informatique et Libertés ), d’engager une procédure de sanction en désignant M. François PELLEGRINI en qualité de rapporteur.

A l’issue de son instruction, celui-ci a notifié à la société, le 10 décembre 2015, un rapport détaillant le manquement à la loi Informatique et Libertés qu’il estimait constitué et sollicitant le prononcé d’un avertissement public.

Etait également jointe au rapport une convocation à la séance de la formation restreinte du 21 janvier 2016 indiquant à la société qu’elle disposait d’un délai d’un mois pour communiquer ses observations écrites.

Après avoir obtenu que la séance de la formation restreinte se déroule à huis clos, la société a produit, le 13 janvier 2016, des observations écrites sur le rapport, réitérées oralement lors de la séance du 21 janvier 2016.

  1. Motifs de la décision

  1. Sur l’existence d’un manquement à l’obligation de veiller à l’exactitude des données à caractère personnel

Aux termes du rapport de M. François PELLEGRINI, il est reproché à la société d’avoir manqué à son obligation de veiller à l’exactitude des données à caractère personnel de ses abonnés en violation de l’article 6-4° de la loi n° 78-17 du 6 janvier 1978 lequel dispose qu’un traitement ne peut porter que sur des données qui sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées.

Dans ses écritures, la société X reconnaît le dysfonctionnement intervenu sur son application informatique mais conteste avoir manqué à son obligation légale. Elle soutient avoir respecté la lettre de l’article 6-4°, lequel consiste en une obligation de moyen et non de résultat, en ayant corrigé le dysfonctionnement dès que celui-ci a été porté à sa connaissance.

Sur ce point, la formation restreinte rappelle que l’article 6-4° précité consiste sans ambiguïté en une obligation de résultat en ce qu’il impose au responsable de traitement de garantir l’exactitude des données à caractère personnel qu’il traite en prenant toutes les mesures utiles afin de rectifier ou d’effacer les données inexactes. Le droit pour les personnes concernées d’obtenir du responsable de traitement la rectification ou l’effacement de données inexactes, énoncé à l’article 40 de la loi Informatique et Libertés, est le corollaire de cette obligation. Il s’agit ainsi pour ce dernier d’atteindre un objectif déterminé et non de déployer ses meilleurs efforts afin d’y parvenir.

En tout état de cause, si la société a réagi promptement lorsque le dysfonctionnement lui a été signalé, la formation restreinte relève que celui-ci a persisté 1 an et 9 mois et n’a été identifié qu’à la faveur de l’insistance d’un service de police chargé d’une procédure pénale ouverte à l’encontre de l’Abonné.

La société fait également valoir que le volume considérable de demandes à traiter provenant de la Hadopi l’a contraint, sans aide financière de l’Etat, à automatiser sa procédure d’identification des adresses IP ce qui rendait les anomalies difficilement détectables.

La formation restreinte considère que cette argumentation n’est pas de nature à dispenser la société d’opérer les vérifications élémentaires sur l’application informatique qu’elle met en œuvre et dont elle est responsable afin de répondre à ses obligations légales en raison, notamment, des conséquences graves que peuvent avoir des erreurs d’identification sur ses abonnés.

En l’espèce, l’article L. 34-1 du code des postes et des communications électroniques impose à la société, en sa qualité de fournisseur d’accès à Internet, de conserver les données techniques de ses clients à des fins de mise à disposition de l’autorité judiciaire ou de la Hadopi.

Or, il ressort du dossier que la société a, d’une part, affecté à différents abonnés des adresses MAC composées d’une suite de zéro et, d’autre part, attribué par défaut les recherches infructueuses de titulaires d’adresses IP à l’un de ces abonnés.

Il n’est pas contesté que le cumul de ces défaillances a conduit à identifier à tort l’Abonné comme étant titulaire de nombreuses adresses IP à partir desquelles des faits délictuels auraient été commis, en communiquant par erreur son identité à la Hadopi et aux services de police et de gendarmerie.

La formation restreinte considère que la société a ainsi manqué à son obligation de veiller à l’exactitude des données à caractère personnel de ses abonnés.

Dès lors, le manquement à l’article 6-4° précité est caractérisé.

  1. Sur la sanction et la publicité

Au vu des éléments qui précèdent, la formation restreinte décide de prononcer à l’encontre de la société X, en application de l’article 45 de la loi du 6 janvier 1978 modifiée, un avertissement qui sera rendu public.

Cette sanction est justifiée par la nécessité de renforcer la vigilance des fournisseurs d’accès à Internet sur les données qu’ils transmettent aux autorités administratives et judiciaires chargées de lutter contre des comportements délictuels commis via Internet et de les sensibiliser aux conséquences préjudiciables qu’une transmission de données inexactes peut avoir sur leurs abonnés.

En effet, la formation restreinte rappelle que, selon ses déclarations devant les services de police, l’Abonné a non seulement été mis en cause dans le cadre du dispositif de réponse graduée de la Hadopi mais également à l’occasion de plusieurs enquêtes pénales dont l’une concernait des faits de pédopornographie et qu’il a fait l’objet de nombreuses perquisitions à son domicile et de plusieurs saisies de ses équipements informatiques.

Il a ainsi injustement subi de multiples mises en cause par diverses autorités de poursuite qui se sont répétées pendant près de deux ans et lui ont causé un préjudice important.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide :

- De prononcer un avertissement ;

- De rendre publique sa délibération.

Le Président

Jean-François CARREZ

Cette décision peut faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.




Nature de la délibération: SANCTION
Date de la publication sur legifrance: 9 mars 2016