Legifrance - Le service public de l'accès au droit

Décision n° MED-2017- 075 du 27 novembre 2017 mettant en demeure la société X

Etat: VIGUEUR

La Présidente de la Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code pénal ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 45 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2016-295C du 14 octobre 2016 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de tous traitements relatifs à l’application X pour smartphone ;

Vu les procès-verbaux n° 2016-295/1, 2016-295/2, 2016-295/3 et 2016-295/4 des 4 et 9 novembre 2016, 14 juin 2016 et 23 octobre 2017 ;

Vu les autres pièces du dossier ;

1. Constate les faits suivants

La société X (ci-après, la société ) a été fondée en 2009 et a son siège social […]. Elle exploite une application mobile dénommée […] permettant aux utilisateurs d’échanger des messages avec d’autres utilisateurs via la connexion à internet de leur téléphone. Elle emploie environ 50 employés et a généré au premier semestre 2014 un chiffre d’affaires de 15,9 millions de dollars.

En application de la décision n° 2016-295C du 14 octobre 2016 de la Présidente de la Commission nationale de l’informatique et des libertés (ci-après, la CNIL ou la Commission ), une délégation de la CNIL a procédé à trois contrôles en ligne, les 4 et 9 novembre 2016 et le 23 octobre 2017. Une audition de la société a eu lieu dans les locaux de la CNIL le 14 juin 2017. Ces investigations ont eu pour objet de vérifier la conformité à la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après loi Informatique et Libertés ou loi du 6 janvier 1978 modifiée ) de l’ensemble des traitements de données à caractère personnel mis en œuvre par la société.

Sur l’applicabilité de la loi française

Dans ses échanges avec les services de la CNIL, la société a contesté l’applicabilité de la loi française dans la mesure où étant établie aux Etats-Unis, elle se considère soumise à la législation de ce pays et à la compétence de la Federal Trade Commission .

Il est rappelé que, conformément à l’article 4 de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 (ci-après, la directive ) : Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque […]

c) le responsable du traitement n'est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu'à des fins de transit sur le territoire de la Communauté.

De même, le 2° du I de l’article 5 de la loi Informatique et Libertés prévoit que sont soumis à ses dispositions les traitements pour lesquels le responsable sans être établi sur le territoire français ou sur celui d’un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français(…) .

Le Groupe de travail de l’article 29 sur la protection des données (ci-après G29 ) dans son avis n° 8/2010 du 16 décembre 2010 sur le droit applicable, tel que modifié le 16 décembre 2015, adopte une interprétation large de la notion de moyens de traitement, qui englobe des intermédiaires humains mais aussi techniques, que la collecte de données soit réalisée à distance ou non.

Le G29 a rappelé dans cet avis que lorsqu’un responsable du traitement collecte sciemment des données à caractère personnel, même accessoirement, en ayant recours à des moyens situés dans l’UE, la directive s’applique.

En l’espèce, il n’est pas contesté que la société X ne dispose ni d’un établissement sur le territoire français ni d’un établissement sur le territoire de l’Union Européenne. Toutefois, la société collecte des données à caractère personnel en ayant recours à des moyens de traitement situés sur le territoire français. En effet, la société met à disposition un service de messagerie via une application à installer sur des terminaux mobiles situés notamment sur le territoire français, qui permet de collecter les données des utilisateurs telles que leurs nom, prénom, numéro de téléphone ou photographie. Ce service est de surcroît disponible en langue française et ses options de paramétrage permettent son utilisation par des personnes situées sur le territoire français.

Il en résulte qu’en proposant l’application […] à des utilisateurs se trouvant en France, la société recourt à des moyens de traitement situés sur le territoire français et est donc soumise à la loi française applicable en vertu du 2° du I de l’article 5 de la loi du 6 janvier 1978 modifiée.

Sur les faits

En 2014, la société Y a procédé au rachat de la société X. Afin de tirer les conséquences de ce rachat et de tenir compte de ce que les données des utilisateurs de l’application […] seraient transmises à la société Y, la société a mis à jour ses conditions d’utilisation ainsi que sa politique de confidentialité au sein de ses mentions légales dont une nouvelle version a été mise en ligne le 25 août 2016.

Il convient de rappeler que par une décision du 18 mai 2017, la Commission Européenne a infligé une amende de 110 millions d'euros à Y p our avoir fourni des renseignements dénaturés concernant l'acquisition de la société X. La Commission a rappelé à cette occasion la nécessité pour les sociétés de fournir des informations exactes et non trompeuses.

Au cours du contrôle en ligne du 4 novembre 2016, la délégation a constaté que ces nouvelles règles d’utilisation et de confidentialité contiennent notamment les mentions suivantes : Nous avons rejoint Y en 2014. Désormais, X fait partie de la famille de sociétés de Y. , Si vous êtes déjà un utilisateur, vous pouvez choisir, ci-dessous, de ne pas partager vos informations de compte […] avec Y pour améliorer vos expériences avec les produits et publicités Y. Les utilisateurs déjà existants qui acceptent notre mise à jour des Conditions et notre Politique de Confidentialité auront 30 jours supplémentaires pour faire ce choix et Vous pouvez supprimer votre compte […] à tout moment (notamment si vous voulez revenir sur votre acceptation relative à notre utilisation de vos informations) à l’aide de notre fonctionnalité de suppression de compte intégrée à l’application.

La délégation a constaté lors des contrôles en ligne des 4 et 9 novembre 2016 qu’aucune information relative aux traitements de données à caractère personnel mis en place par la société n’est présente sur le formulaire permettant de créer un compte sur l’application.

Les procès-verbaux n° 2016-295/1 et 2016-295/2 des 4 et 9 novembre 2016 ont été notifiés à la société le 27 décembre 2016. Par ailleurs, un questionnaire a été adressé à la société lui demandant notamment d’indiquer le type de données transmises aux sociétés de la familleY, les finalités de cette transmission, les mécanismes d’opposition des utilisateurs et de fournir les documents contractuels encadrant les échanges de données avec les sociétés de la famille Y.

Par courrier du 27 février 2017, la société a indiqué en réponse au questionnaire, qu’étaient transmises à Y les catégories de données suivantes : l’identifiant du compte […] de l’utilisateur, des informations relatives à l’appareil utilisé et des informations relatives à l’utilisation de l’application comme par exemple, la date de la dernière connexion. La société a précisé que les données des utilisateurs français n’avaient jusqu’à présent été partagées qu’avec Y, en sa seule qualité de sous-traitant.

La société a ensuite indiqué que la transmission des données poursuivait deux finalités. La première finalité, dite de business intelligence , lui permet de bénéficier de services de la part des autres sociétés de la famille Y afin, par exemple, d’analyser les habitudes d’utilisation des utilisateurs. Ce partage de données permettrait notamment à la société X d’explorer et de déverrouiller les moyens de développer et étendre son activité . La deuxième finalité porte sur la sécurité, l’échange d’informations entre les sociétés ayant pour objet la lutte contre les comptes abusifs, menaçants ou contrefacteurs.

Elle a par ailleurs indiqué qu’une troisième finalité ayant pour objectif l’amélioration de l’expérience des utilisateurs concernant les publicités et les produits Y, était envisagée mais que les traitements relatifs à cette finalité n’avaient pas encore été mis en œuvre.

La société a indiqué qu’après le lancement de la mise à jour du 25 août 2016, tous les utilisateurs se connectant à l’application ont reçu une notification contenant les éléments essentiels de la mise à jour et des liens vers le texte complet des conditions d’utilisation et de la politique de confidentialité.

La société a expliqué que les utilisateurs inscrits après le 25 août 2016 ont également accès aux informations relatives à la mise à jour et qu’ils peuvent soit accepter les conditions d’utilisation et la politique de confidentialité en cliquant sur un bouton Accepter et continuer , soit choisir de ne pas utiliser l’application.

La société a indiqué qu’elle avait un intérêt légitime à transmettre les données de ses utilisateurs vers Y dans la mesure où cette transmission s’inscrivait dans le cadre de son acquisition par Y, qu’elle permet l’amélioration du service qu’elle propose et que le consentement des utilisateurs à cette transmission a été recueilli. La société a par ailleurs expliqué ne pas comprendre la nature de la documentation demandée par la CNIL, s’agissant de la transmission des données vers les sociétés de la famille Y.

Par courrier du 21 avril 2017, une convocation a été adressée à la société afin d’être auditionnée par les services de la CNIL. Cette convocation était accompagnée de plusieurs demandes dont une visait à obtenir de la société l’ensemble des données transmises pour un échantillon de mille personnes situées sur le territoire français . Au cours de l’audition qui s’est déroulée dans les locaux de la CNIL le 14 juin 2017, la société a précisé que le seul moyen mis à disposition des utilisateurs de l’application pour s’opposer à la transmission de leurs données à Y, dans le cadre des deux premières finalités, consistait en la suppression de leur compte.

A l’issue de l’audition, la délégation a demandé à la société de lui transmettre la liste exhaustive et précise des données communiquées à Y et lui a de nouveau demandé de lui fournir un échantillon des données transmises à Y ainsi que les documents encadrant la relation contractuelle entre la société et Y.

Par courrier du 20 juillet 2017, la société a indiqué que la transmission de l’échantillon demandé par la CNIL se heurtait à des problématiques juridiques car ses bases de données sont situées aux Etats-Unis et que seule la loi américaine est applicable. La société a par ailleurs transmis à la CNIL une liste des catégories de données transmises à Y identique à celle fournie dans sa réponse du 27 février 2017. Le 7 août 2017, la délégation a adressé un courrier électronique à la société demandant notamment de lui communiquer les instructions données à Y dans le cadre des traitements aux fins desquels les données sont transmises. Le 5 septembre 2017, la société a fait valoir que le caractère confidentiel des contrats de sous-traitance conclus avec Y rendait impossible leur communication à la CNIL. A la suite d’une nouvelle demande des services de la CNIL en date du 17 novembre 2017, la société a transmis à la CNIL le 30 novembre 2017 un contrat de Data Processing Agreement conclu le 7 novembre 2016 entre X et Y dont il ressort que la société Y traite les données personnelles transmises par X pour le compte de cette dernière.

La société a également transmis à cette occasion des captures d’écran de la section Avis pour les utilisateurs de l’UE disponible dans la rubrique Questions et réponses de l’application dans lesquelles il est fait état de ce que lorsqu’elle partage des informations avec les entreprises Y, ces dernières agissent en tant que fournisseurs de service et ne peuvent pas utiliser ces informations à des fins personnelles mais qu’elles doivent plutôt agir au nom de X .

II- Sur les manquements constatés au regard des dispositions de la loi du 6 janvier 1978 modifiée

Un manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre.

Il ressort des informations fournies par la société que les données des utilisateurs de l’application sont transmises aux sociétés de la famille Y dans le cadre des finalités de business intelligence et de sécurité, sans que ceux-ci ne puissent s’y opposer autrement qu’en supprimant leur compte.

Sur le statut de la société Y dans le cadre de la transmission de données par X

Il convient de souligner que contrairement à ce qu’a soutenu la société dans ses échanges avec la CNIL, il apparait que la société Y n’agit pas uniquement en qualité de sous-traitant mais également en qualité de responsable de traitement au sens de la loi Informatique et Libertés .

Dans son avis n°1/2010 du 6 février 2010 sur les notions de responsable du traitement et de sous-traitant , le G29 rappelle que Si un contractant avait une influence sur la finalité et qu’il procédait au traitement (également) à des fins personnelles, par exemple en utilisant les données à caractère personnel reçues en vue de créer des services à valeur ajoutée, il deviendrait alors responsable du traitement (ou éventuellement coresponsable du traitement) .

Par ailleurs, le G29 explique qu’ Être responsable du traitement résulte essentiellement du fait qu’une entité a choisi de traiter des données à caractère personnel pour des finalités qui lui sont propres.

Le G29 considère ainsi qu’un sous-traitant qui utiliserait les données transmises par un responsable de traitement pour son propre compte, agirait de ce fait comme un responsable de traitement.

En l’espèce, l’analyse des informations transmises par la société fait apparaitre une contradiction s’agissant du rôle deY dans la transmission des données. En effet, si la rubrique Questions et réponses fait état de ce que les sociétés avec lesquelles X partagent les données ne les utilisent pas à leurs propres fins et que le contrat Data Processing Agreement précise que Y ne traite les données transmises qu’au bénéfice de la société, ces indications sont contredites la Politique de confidentialité.

En effet, la rubrique Politique de confidentialité des mentions légales telle que modifiée par la mise à jour du 25 août 2016, fait état de ce que la société a rejoint la famille de sociétés Y en 2014. En tant que membre de la famille de sociétés Y, X reçoit des informations provenant des membres de cette famille de sociétés et leur en transmet. Nous pouvons utiliser les informations qu’ils nous envoient, et ils peuvent utiliser celles que nous leur transmettons, afin de nous aider à exploiter, fournir, améliorer, comprendre, personnaliser, prendre en charge et commercialiser nos Services et leurs offres. [soulignement ajouté]

[…]

Y et les autres sociétés de la famille Y peuvent également utiliser des informations que nous avons fournies pour améliorer vos expériences au sein de leurs services .

En outre, l’écran intitulé Comment faire si je choisis de ne pas partager mes informations de compte […] pour améliorer mes expériences avec les publicités et produits Y accessible en accédant à la rubrique Questions et Réponses puis à la rubrique Sécurité et Confidentialité , indique que la famille de société Y recevra et utilisera quand même ces informations à d’autres fins telles que l’amélioration de l’infrastructure et les systèmes de livraison, comprendre comment nos services ou les leurs sont utilisés… .

Ainsi, dans la mesure où les conditions d’utilisations et la politique de confidentialité sont directement opposables aux utilisateurs et que ces derniers sont expressément invités par la société à en prendre connaissance et à les accepter avant de commencer à utiliser l’application, il doit être considéré que la société entend bien informer ses utilisateurs que Y, non seulement reçoit les données de la part de X et les traite pour le compte de cette dernière, mais qu’elle effectue aussi un traitement distinct, pour une finalité qu’elle a elle-même déterminée et pour son propre compte.

Ce traitement additionnel des données par Y ressort également du courrier de la société du 27 février 2017. Elle a en effet indiqué que dans le cadre de la deuxième finalité (sureté et sécurité), la transmission de données lui permet de partager et recevoir des informations concernant des comptes abusifs, menaçants ou contrefacteurs qui pourraient être actifs sur les plateformes de la famille de sociétés Y. [soulignement ajouté]. En d’autres termes, les données transmises par X sont utilisées par Y afin d’améliorer la sécurité de ses propres services.

Par conséquent, au regard du contenu de la politique de confidentialité de l’application et de la rubrique Questions et réponses , des réponses apportées par la société, Y doit être considérée, en application des dispositions de la loi Informatique et Libertés , comme responsable de traitement destinataire des données à caractère personnel collectées par la société X et non comme un sous-traitant.

Sur le manquement constaté

Aux termes de l’article 7 de la loi n° 78-17 du 6 janvier 1978 modifiée : un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes :

1° Le respect d'une obligation légale incombant au responsable du traitement ;

2° La sauvegarde de la vie de la personne concernée ;

3° L'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ;

4° L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;

5° La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée .

Dans son courrier du 27 février 2017, la société indique disposer d’une double base légale s’agissant du traitement consistant à transmettre des données à Y : le consentement des utilisateurs et son intérêt légitime.

En premier lieu, il convient de rappeler qu’au terme du point h) de l’article 2 de la directive 95/46/CE, le consentement s’entend comme toute manifestation de volonté, libre, spécifique et informée de la personne concernée.

Dans son avis n° 15/2011 du 13 juillet 2011, le G29 considère que Le consentement ne peut être valable que si la personne concernée est véritablement en mesure d’exercer un choix et s’il n’y a pas de risque de tromperie, d’intimidation, de coercition ou de conséquences négatives importantes si elle ne donne pas son consentement. Si les conséquences du consentement sapent la liberté de choix des personnes, le consentement n’est pas libre.

En l’espèce, si les personnes concernées ont bien été informées de la transmission de leurs données, il apparait qu’elles n’ont pas pu manifester leur volonté de façon libre et spécifique.

Il ressort tant des constatations que des informations fournies par la société que le refus de la personne concernée de donner son consentement à la transmission de ses données s’accompagne nécessairement d’une conséquence négative importante puisqu’elle sera contrainte de supprimer son compte et ne pourra utiliser l’application […].

Le G29 a également considéré dans l’avis précité que : Pour être valable, le consentement doit être spécifique. En d’autres termes, un consentement général, sans préciser la finalité exacte du traitement, n’est pas acceptable. Pour être spécifique, le consentement doit être intelligible. Il doit mentionner, de façon claire et précise, l’étendue et les conséquences du traitement des données […] Le consentement doit être donné sur les différents aspects, clairement définis, du traitement. […] En effet, il ne saurait être considéré comme couvrant toutes les finalités légitimes poursuivies par le responsable du traitement.

Or, les conditions d’utilisation et la politique de confidentialité, telles que mises à jour le 25 août 2016, ne permettent pas à l’utilisateur de comprendre avec un niveau de précision suffisant, quelle utilisation sera faite de ses données. En effet, il y est simplement indiqué que X reçoit des informations provenant de la famille de sociétés Y Inc et leur en transmet. Il est précisé : Nous pouvons utiliser les informations qu’ils nous envoient, et ils peuvent utiliser celles que nous leur transmettons, afin de nous aider à exploiter, fournir, améliorer, comprendre, personnaliser, prendre en charge et commercialiser nos Services et leurs offres. En outre, Y et les autres sociétés de la famille Y peuvent également utiliser des informations fournies par la société X pour améliorer vos expériences au sein de leurs services .

Par conséquent, si l’utilisateur consent de façon générale à la politique de confidentialité de la société afin d’installer l’application, il ne saurait être considéré que son consentement à la transmission de ses données à des tiers serait spécifique.

Il en résulte qu’il n’est pas possible de considérer que le consentement des utilisateurs est valablement recueilli par la société, faute d’être libre et spécifique.

En second lieu, l’intérêt légitime du responsable de traitement doit être apprécié d’une part, en tant que tel, et d’autre part, au regard de l’intérêt de la personne concernée et de ses droits et libertés fondamentaux, auquel l’intérêt légitime du responsable de traitement ne saurait porter atteinte. A cet égard, pour apprécier la légitimité de l’intérêt du responsable de traitement, il convient notamment de tenir compte de la proportionnalité du traitement de données au regard de ses finalités.

Il n’est pas contesté que la société dispose d’un intérêt légitime à transmettre les données de ses utilisateurs vers Y dans le but d’améliorer son service de messagerie instantanée. Il convient par conséquent de mettre en balance cet intérêt avec l’intérêt et les droits et libertés des personnes concernées.

Tout d’abord, Il ressort des informations communiquées par la société que les données à caractère personnel de l’ensemble des utilisateurs de l’application […] sont transmises à Y, même dans le cas où une personne utilisant […] ne posséderait pas de compte sur le site Y ou sur les autres plateformes gérées par les sociétés de la famille Y. Cela signifie que les données de ces personnes sont transmises à un autre responsable de traitement avec lequel elles n’entretiennent aucun lien.

Ensuite, dans son avis n°06/2014 du 9 avril 2014 s ur la notion d’intérêt légitime poursuivi par le responsable de traitement , le G29 considère que doivent être prises en compte dans la balance des intérêts les garanties supplémentaires mises en place par le responsable du traitement afin de prévenir toute incidence injustifiée sur les personnes concernées.

En l’espèce, si l’information délivrée par la société aux utilisateurs, à l’occasion de la mise à jour du 25 août 2016, a été complétée s’agissant du fait que leurs données seraient transmises, il ressort toutefois des informations fournies par la société que le seul moyen pour les utilisateurs de s’opposer à la transmission de leurs données à Y dans les cadres des deux premières finalités repose sur la suppression de leur compte. Cela ressort également des conditions d’utilisation qui indiquent que Vous pouvez supprimer votre compte […] à tout moment (notamment si vous voulez revenir sur votre acceptation relative à notre utilisation de vos informations) à l’aide de notre fonctionnalité de suppression de compte intégrée à l’application.

Or, un mécanisme d’opposition reposant sur la suppression définitive d’un compte ne permet pas d’assurer un juste équilibre entre l’intérêt de la société et l’intérêt des personnes concernées en ce qu’il a pour conséquence de priver la personne de l’utilisation d’un service.

L’absence de mécanisme d’opposition doit également être analysée à la lumière des finalités poursuivies. En l’occurrence, si la seconde finalité (sécurité et sureté) peut passer pour essentielle au bon fonctionnement de l’application, il en va différemment de la première finalité dite de business intelligence . En effet, une telle finalité vise à analyser le comportement des utilisateurs de l’application afin d’en améliorer les performances et d’en optimiser l’exploitation afin de permettre à la société d’étendre son activité. Ainsi, quand bien même une analyse business intelligence des données peut dans une certaine mesure, contribuer à améliorer l’application au bénéfice des utilisateurs, d’une part, cette finalité n’apparait pas indispensable à son fonctionnement et d’autre part, l’avantage que tire la société de la transmission des données lui profite au premier chef. Chacun de ces points justifient que les utilisateurs puissent disposer du droit de s’y opposer, tout en continuant d’utiliser l’application.

La société X compte en France près de 10 millions d’utilisateurs de son application. La transmission des données de ces utilisateurs vers la société Y, dont le statut et la taille la rendent incontournable dans le paysage numérique mondial, renforce les possibilités dont cette société dispose pour établir un profil précis de chaque personne utilisant l’un de ses services et d’en tirer un avantage économique substantiel.

Ce traitement massif d’informations par un seul acteur et pour des finalités non clairement déterminées, entraine un déséquilibre au détriment de l’utilisateur qui ne peut être corrigé qu’en lui permettant de garder la maitrise de ses données.

Au surplus, cette absence de mécanisme d’opposition est d’autant plus problématique pour les utilisateurs de […] qui ne disposent pas de compte […] et dont les données seront traitées par la société Y sans motif apparent.

Il en résulte que la transmission des données des utilisateurs vers Y par la société est dépourvue de base légale faute pour elle de respecter, dans la recherche de son intérêt légitime en tant que responsable de traitement, l’intérêt et les droits et libertés des personnes, en mettant à leur disposition un mécanisme d’opposition à la transmission de leurs données à caractère personnel.

Ces faits sont de nature à constituer un manquement aux dispositions de l’article 7 de la loi du 6 janvier 1978 modifiée.

Un manquement à l’obligation d’informer les personnes

La délégation a constaté que la société traite le numéro de téléphone de l’utilisateur et collecte, via le formulaire permettant de créer un compte sur l’application, les nom, prénom et de manière facultative la photographie. Il a été constaté que ce formulaire ne contient aucune information relative au traitement de données à caractère personnel s’agissant en particulier, des finalités pour lesquelles les données sont transmises à la société Y et des droits dont disposent les personnes concernées.

Ces faits constituent un manquement à l’article 32-I de la loi n°78-17 du 6 janvier 1978 modifiée qui dispose que :

La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant :

1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Du caractère obligatoire ou facultatif des réponses ;

4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;

5° Des destinataires ou catégories de destinataires des données ;

6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre (droits des personnes à l’égard des traitements de données) dont celui de définir des directives relatives au sort de ses données à caractère personnel après sa mort ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne.

8° De la durée de conservation des catégories de données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

Il est enfin rappelé qu’en application des articles 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas informer, dans les conditions prévues à l’article 32 de la loi du 6 janvier 1978 modifiée, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est puni d’une peine d’amende pouvant atteindre 7 500 euros.

Un manquement à l’obligation de coopérer avec la Commission

La société n’a pas apporté de réponses à l’ensemble des demandes formulées par la délégation de contrôle.

En effet, le questionnaire envoyé à la société lui demandait notamment de fournir les documents, contractuels ou non, encadrant les échanges de données entre X et les sociétés destinataires des données. Dans sa réponse du 27 février 2017, la société a indiqué ne pas comprendre la nature de la documentation sollicitée.

Par ailleurs, dans un courrier du 21 avril 2017, la délégation a demandé à la société de lui communiquer l’ensemble des données communiquées par X à Y pour un échantillon de mille utilisateurs situés sur le territoire français . Au cours de l’audition du 14 juin 2017, la société a indiqué que la transmission d’un tel échantillon se heurtait à des difficultés légales.

A la suite de l’audition du 14 juin 2017, la délégation a renouvelé ses demandes tendant à obtenir un échantillon des données et a demandé à obtenir communication de tout document montrant que les traitements pour lesquels Y agit en qualité de sous-traitant de X sont mis en œuvre par Y sur instruction de X .

Le 20 juillet 2017, la société a indiqué avoir mis en place des contrats de sous-traitance avec la société Y et avec ses prestataires de service mais que de tels contrats étaient soumis à des obligations de confidentialité. Elle a par ailleurs indiqué que la loi française n’étant pas applicable, elle n’était pas en mesure de répondre favorablement à la demande d’échantillon de la CNIL.

Par courrier électronique du 7 aout 2017, la délégation a demandé à la société de lui fournir les instructions écrites communiquées par X à Y relatives au traitement des données dans les cadres des trois finalités.

En réponse à cette nouvelle demande, la société a indiqué ne pas être en mesure de communiquer les documents demandées en ce qu’ils sont soumis à des règles de confidentialité.

En réponse à une demande formulée par courrier électronique le 17 novembre 2017, la société a transmis, le 30 novembre 2017, un contrat conclu avec Y intitulé Data Processing Agreement .

En conséquence, la Commission n’a pas obtenu l’échantillon des données transmises à Y. Faute d’avoir pu obtenir, par ailleurs, la liste exhaustive des données transmises à Y, la société n’ayant communiqué à la CNIL que des catégories de données illustrées par des exemples, la délégation de la CNIL s’est ainsi trouvée dans l’impossibilité d’examiner dans son ensemble, la conformité des traitements mis en œuvre par la société à la loi du 6 janvier 1978 modifiée.

Ces faits constituent un manquement à l’article 21 de la loi n° 78-17 du 6 janvier 1978 disposant que les (…) dirigeants d'entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s'opposer à l'action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche .

En conséquence, la société X, sise […] , est mise en demeure, sous un délai de un (1) mois à compter de la notification de la présente décision et sous réserve des mesures qu’elle aurait déjà pu adopter, de :

• ne pas procéder sans base légale à la transmission des données des utilisateurs vers la société Y dans le cadre de la première finalité de business intelligence ;
• procéder à l’information des personnes auprès desquelles des données à caractère personnel sont collectées, dans les conditions prévues à l’article 32 de la loi du 6 janvier 1978 modifiée, notamment en faisant figurer sur le formulaire de création de compte, les mentions d’information prévues à cet article, en particulier les finalités pour lesquelles les données sont transmises à Y et les droits dont disposent les personnes concernées ;
• communiquer à la Commission l’ensemble des données communiquées par X à Y pour un échantillon de mille utilisateurs situés sur le territoire français ;
• justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l’issue de ce délai, si la société X s’est conformée à la présente mise en demeure, il sera considéré que la procédure est close et un courrier lui sera adressé en ce sens.

À l’inverse, s’il est constaté que la société X ne s’est pas conformée à la présente mise en demeure, un rapporteur pourra être désigné et demander à la formation restreinte de la Commission de prononcer l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée.

La Présidente

Isabelle FALQUE-PIERROTIN