La CNIL croise le chemin des sites de rencontre

La Commission nationale de l’informatique et des libertés (CNIL), chargée de contrôler le respect de la loi du 6 janvier 1978 sur la protection des données à caractère personnel, vient de rendre publiques huit mises en demeure adressées à des exploitants de sites de rencontre.

La CNIL reproche à ces sites un certain nombre de manquements au regard de la législation relative à la protection des données nominatives. Le grief le plus marquant porte sur le manque d’information des internautes quant à l’importance des données qu’ils acceptent de divulguer sur ces sites.
Il est exact que les données qui sont renseignées pour faire connaissance avec des partenaires potentiels portent sur des informations qui touchent directement à la personnalité et à l’intimité des internautes : leur sexe et leur âge, bien entendu, mais également leur orientation sexuelle, leur religion, leur ethnie… des informations qui sont qualifiées de "sensibles" et dont la Loi Informatique & Libertés interdit la collecte par principe (article 8).

La loi dispose en effet qu’ "il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci".  

Bien entendu, il existe certaines exceptions, en particulier lorsque la personne concernée a consenti expressément à cette collecte ainsi qu’au traitement de ces données. Précisément, la CNIL considère que les sites de rencontre ainsi épinglés ne cherchent pas suffisamment à obtenir un consentement exprès des internautes.

A l’évidence, lorsqu’une personne se rend sur un site de rencontre et fournit ces données, elle a conscience qu’elles seront rendues accessibles à des tiers. Le consentement paraît incontestable. Personne ne force quiconque à s’inscrire sur un site de rencontre ni à divulguer des données aussi intimes que l’orientation sexuelle, par exemple. Certains sites permettent d’ailleurs de ne pas renseigner ces informations si on ne le souhaite pas.

Toutefois, la CNIL considère que le consentement des internautes n’est ici pas suffisamment explicite. Elle recommande donc que les sites internet de rencontre mettent en place un mécanisme de case à cocher, afin que l’attention de celles et ceux qui cherchent l’amour (ou pas…) soit davantage attirée sur ces points.

La CNIL fait donc preuve d’une exigence élevée en la matière. La case à cocher est-elle alors une solution suffisante ? On peut en douter, puisque rares sont les internautes à lire les conditions générales des sites internet et les mentions assorties d’une case à cocher… Et en pratique, on voit mal qui pourrait refuser de cocher la case dès lors que la démarche de s’inscrire sur ce type de site est mise en oeuvre
De manière intéressante, la CNIL a également mis en demeure certains de ces sites au motif du non respect de la législation sur les cookies. L’on sait désormais que les internautes doivent être informés de l’utilisation de cookies sur un site web et doit même y consentir (sauf exception, en particulier les cookies purement techniques). C’est ainsi que la navigation sur internet est devenue particulièrement pénible ces derniers mois, puisque les bandeaux d’information sur les cookies se multiplient.

Or il faut savoir que ces mentions d’information ne sont pas suffisantes. La CNIL impose que les internautes puissent s’opposer à l’utilisation des cookies. Généralement, les sites internet se contentent de rappeler que les réglages des navigateurs permettent de s’opposer ou supprimer des cookies. Mais la CNIL considère que cela n’est pas assez. 

Selon la CNIL, le simple rappel de la manière de paramétrer son navigateur n’est possible que si et seulement si le site ne dépose pas de cookies purement techniques (et donc uniquement des cookies à finalité publicitaire), voire si le site ne dépose pas de cookies provenant de son éditeur (donc uniquement de tiers).

Dans la mesure où un site dépose des cookies techniques et/ou des cookies dits "first party", alors le paramétrage du navigateur n’est pas, selon la CNIL, un mécanisme valable d’opposition aux cookies. En d’autres termes, les sites doivent mettre en place une solution permettant de s’opposer en ligne, cookie par cookie, à leur utilisation.

Dans la mesure où les cookies ne sont que la partie émergée de l’iceberg du ciblage publicitaire, on peut se demander si les règles fixées par la CNIL,  particulièrement contraignantes et qui supposent des coûts de développement parfois importants, sont réellement pertinentes.

En somme, sur les sites internet de rencontre, il risque d’être bientôt difficile de naviguer sans avoir à cocher des cases dans tous les sens…  Réponse dans trois mois, au terme du délai laissé aux sites mis en demeure par la CNIL pour se mettre en conformité avant d'éventuelle sanctions (entre 150.000 et 1.500.000 euros d'amende selon les infractions).