Relation client et autres enseignements suites aux mises en demeure de sites de rencontres par la CNIL
Dans une série de décisions rendues le 24 juin dernier, la CNIL a rappelé à l’ordre huit entreprises gérant des sites de rencontre en ligne dont les traitements de données personnelles n’étaient pas conformes à la loi du 06/01/1978.
Voici donc une jurisprudence prémonitoire alors que le site Ashley Madison révélait[1] le 20 juillet dernier, avoir été victime d’une faille de sécurité portant sur 37 millions d’adhérents.
Que nous disent ces décisions jugées suffisamment graves pour avoir été rendues publiques?A l’exception des propos excessifs et injurieux, les autres manquements relevés concernent plus ou moins l’ensemble des sites sanctionnés.
Des commentaires excessifs, non pertinents et injurieux
Boulet : personne constituant une charge, une obligation dont on ne peut se libérer (Larousse).
Il y a donc 2588 boulets sur www.adopteunmec.com [2], comme il y a une "grosse connasse qui se croit tout permis" et un "client casse couille" chez cette enseigne nationale du multimédia et de l’électroménager[3]. Rien de vraiment nouveau ; rappelons que la CNIL avait déjà émis un avertissement à l’encontre d’une enseigne évoluant dans le secteur immobilier[4] à la suite de commentaires relatifs à une "folle en dépression" et à un client qui "sentait l’alcool".
Un défaut de sécurité des données et d’encadrement des relations contractuelles avec les sous-traitants
Manifestement, les manquements constatés par la CNIL en matière de sécurité étaient d’une gravité telle qu’elle a préféré ne pas en révéler le détail. Des faits d’autant plus inquiétants qu’en raison de leur activité, ces sites traitent d’un grand nombre de données sensibles.
Elle indique avoir constaté à deux reprises que les sociétés concernées utilisaient les données de la carte bancaire pour authentifier l’interlocuteur ou l’internaute.
Une collecte de données sensibles sans consentement exprès de la personne
Bien que les informations relatives à la religion, à l’appartenance ethnique ou aux préférences sexuelles aient été fournies par la personne, parfois même sans que cela soit obligatoire, la Commission considère que cela ne saurait présumer du consentement exprès de la personne qui doit en outre cocher une case afin de manifester ledit consentement.
La CNIL a par ailleurs relevé la collecte de données relatives à des mineurs à partir de 7 ans[5].
Des dépôts de cookies sans information et sans consentement préalables
La CNIL[6] a constaté le dépôt systématique de cookies et de boutons de partage de réseaux sociaux dès la connexion de l’internaute au site, avant toute action de sa part manifestant sa volonté de continuer sa navigation sur le site.
L’autorité de protection des données rappelle que le paramétrage du navigateur n’est pas considéré comme un mécanisme valable d’opposition en cas de cookies techniques internes essentiels au fonctionnement ou de cookies publicitaires.
Les applications mobiles sont également concernées. La Commission a pu constater qu’il n’était pas possible d’exercer son droit d’opposition vis-à-vis des cookies.
Une conservation des données sans durée déterminée
Les décisions font état de cookies d’une durée de vie pouvant aller jusqu’à 15 ans[7] mais aussi de la conservation de données des cartes bancaires, de messages de forum ayant donné lieu à modération ou d’informations sur les personnes malgré leur désinscription du site. La Commission précise que les entreprises ne sont pas fondées à garder d’éventuelles tables concernant les "utilisateurs désinscrits" ni à conserver sans délai les comptes inactifs depuis plusieurs années.
Aucune autorisation pour les traitements susceptibles d’exclure une personne tel que les traitements de lutte contre la fraude ou les traitements basés sur l’utilisation d’un algorithme de pondération des votes des adhérents pour accepter ou refuser un nouveau membre.
Des solutions d’anonymisation déficientes et susceptibles de laisser apparaitre des données indirectement identifiantes à l’occasion de statistiques.
Des transferts de données vers un pays tiers, hors Union Européenne
La CNIL a enfin relevé pour un des sites, que les données relatives à la vie professionnelle et personnelle des utilisateurs étaient transférées vers le Maroc sans autorisation.
Des négligences qui peuvent coûter cher
On notera que l’autorité de contrôle relève dans une de ses décisions, que le registre du CIL indiquait des catégories de données différentes de celles qui avaient été indiquées dans la demande d’autorisation adressée à la Commission.
Elle fait aussi état du "mauvais fondement juridique du droit d’accès" pour lequel l’article de loi cité par la société gérant le site www.mektoub.fr était erroné ; nouvelle démonstration du fait que le copier-coller de CGU a ses limites. Enfin, la CNIL note que les dirigeants qui ont été interrogés sur leurs obligations ont donné une mauvaise réponse.
Ces entreprises n’étaient manifestement pas préparées à un contrôle de la CNIL. Elles n’auront pas trop des trois mois qui leur sont laissés pour se mettre en conformité et prendre les mesures de sécurité adaptées aux risques liés aux traitements de données personnelles, faute de quoi, l’autorité de contrôle rappelle que ces faits sont passibles de sanction pouvant aller jusqu’à 1 500 000 euros pour une personne morale.
-
[7] La CNIL recommande une durée de conservation 13 mois