Pages

vendredi 13 janvier 2017

Sites de rencontres : petit clic et grand choc

La Commission nationale de l'informatique et des libertés (CNIL), dans deux délibérations du 15 décembre 2016, prononce des sanctions pécuniaires à l'encontre de deux sites de rencontres actifs sur internet, Attractive World et Meetic.  Le premier a été condamné à une amende de 10 000 €, le second à une amende de 20 000 €. Cette différence ne s'explique pas par la nature du manquement aux règles relatives à la protection des données personnelles mais par l'importance et le nombre d'abonnés de chacune des sociétés concernées. 

Toutes deux ont effet traité avec une même légèreté les contraintes imposées par la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Les contrôles effectués en 2014 par la CNIL ont mis en lumière toute une série de manquements. Les uns concernent les formalités préalables à la création des traitements informatisés conservant des données personnelles. Les autres sont relatifs à la pertinence des informations stockées. La violation la plus importante de la loi demeure cependant  l'absence de réel consentement exprès des intéressés.

Un pouvoir de sanction renforcé


Le pouvoir de sanction attribué à à la CNIL dès 1978 a été considérablement renforcé d'abord par la loi du 6 août 2004, puis par celle du 29 mars 2011 qui modifie l'organisation de la Commission pour dissocier les phases de poursuite, d'instruction et de sanction. Désormais, et c'est le cas en l'espèce, les sanctions sont prononcées par une formation restreinte qui ressemble de plus en plus à une juridiction. 

Contrairement à ce qui est parfois affirmé, le pouvoir de sanction exercé par la CNIL n'est pas un pouvoir "juridictionnel".  Dans sa décision du 19 février 2008, le juge des référés du Conseil d'Etat affirme certes que la CNIL peut "eu égard à sa nature, à sa composition et à ses attributions, être qualifiée de tribunal au sens de l'article 6 § 1 de la convention européenne des droits de l'homme".  Mais l'on sait que cette analyse repose sur la jurisprudence de la Cour européenne des droits de l'homme (CEDH) qui n'hésite pas à qualifier de tribunal des autorités administratives, à seule fin de faire peser sur elles les contraintes de procédures liées aux exigences du droit à un juste procès consacré par l'article 6 § 1. Aux yeux de la Cour, un organe disciplinaire ou administratif peut être qualifié de "tribunal" au sens autonome que l'article 6 donne à cette notion, quand bien même il ne serait pas appelé "tribunal" ou "cour" dans l'ordre juridique interne (CEDH, 29 avril 1988 Belilos c. Suisse). C'est exactement ce que fait le juge des référés du Conseil d'Etat dans sa décision de 2008. Il veut seulement rappeler que la CNIL doit respecter le principe d'impartialité au sens de l'article 6 § 1, sans pour autant lui donner une fonction juridictionnelle, ce qui constituerait une remise en cause de la notion même d'autorité administrative indépendante, créée précisément pour la CNIL. 

Les sanctions elles mêmes ont été, en quelque sorte, gonflées. Elles sont devenues de plus en plus dissuasives, jusqu'au règlement du Parlement européen et du Conseil du 27 avril 2016 qui autorise des amendes administratives pouvant s'élever jusqu'à 20 000 000 € ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial. Ces chiffres considérables visent essentiellement les GAFA (Google, Amazon, Facebook, Apple) et non pas les sites de rencontres, opérateurs tout de même un peu plus modestes. A l'époque de la sanction prononcée à l'encontre d'Attractive World et de Meetic, le montant des sanctions applicables étaient, en tout état de cause, plus modeste mais déjà proportionné à la place de l'entreprise sur le marché.

L'art de jouer la montre


Dans le cas des deux sites de rencontres, les méchantes langues diraient qu'ils ont bien cherché ce qui leur est arrivé. Après le contrôle de 2014, ils ont fait l'objet de plusieurs mises en demeure portant sur sept manquements à la loi. A l'issue des trois mois accordés, ils n'avaient régularisé que trois des sept points pour l'une, et deux pour l'autre. Ils ont ensuite obtenu un délai de six mois, allant jusqu'en janvier 2016 pour se mettre en conformité. A l'issue de ce nouveau délai, la CNIL n'a pu que constater que rien n'avait été fait. D'autres réunions ont eu lieu, à la demande des sociétés, sans pour autant conduire à un résultat. En termes moins procéduraux, on pourrait dire que les sites ont laissé pourrir la situation pendant deux ans, espérant sans doute que la CNIL renoncerait. 

Agence Matrimoniale. Jean-Paul Le Chanois. 1952
Bernard Blier et Louis de Funes

Un seul clic


Ce long bras de fer porte sur un point qui pourrait sembler d'un intérêt marginal. Chaque abonné au site de rencontres lui confie en effet des données extrêmement intimes, et notamment celles portant sur ses préférences sexuelles. Dans ce cas, l'article 8 de la loi du 6 janvier 1978 prévoit que la collecte et le stockage d'informations particulièrement sensibles sont subordonnés au consentement exprès de l'intéressé. 

Or, les utilisateurs de Attractive World et de Meetic cliquaient une seule fois, lors de leur inscription, pour approuver les Conditions générales d'utilisation (CGU). Cet unique "clic" conduisait à accepter à la fois les conditions générales d'utilisation dans le sens habituel du terme, mais aussi à déclarer que l'on remplissait la condition de majorité, et enfin que l'on consentait à la collecte et à la conservation de données portant sur ses préférences sexuelles. Autrement dit, la question de ces données extrêmement sensibles se trouvait diluée dans un ensemble plus vaste et l'internaute ne percevait pas réellement l'importance des données qu'il confiait. 

La formation restreinte de la CNIL considère que cette procédure constitue peut-être un consentement, mais certainement pas un consentement exprès. Seule une cache à cocher spécifiquement dédiée à cette collecte de données sensibles, à l'endroit précis où elles sont demandées à l'abonné, peut répondre à cette exigence. Cette décision est à rapprocher, mutatis mutandis, de l'arrêt rendu par le Conseil d'Etat le 11 mars 2015. Le juge administratif avait alors considéré comme non conforme à la loi du 6 janvier 1978 le fait de prévoir le consentement à une prospection électronique par un seul clic via les Conditions générales d'utilisation.

En l'espèce, la Commission fait d'ailleurs observer que d'autres données sont sensibles peuvent être conservées, comme les origines raciales ou ethniques, ou encore les convictions religieuses. Même si l'internaute n'est pas tenu de renseigner cette partie du formulaire, le caractère facultatif de la collecte n'a pas pour effet de faire disparaître le caractère sensible des données.

Dans les deux cas, les sanctions prononcées sont rendues publiques par la CNIL, compte tenu de la "particulière gravité des faits" et du volume des informations traitées. Cette publicité vise, à l'évidence, à faire un exemple, ou plutôt deux exemples. La CNIL sera-t-elle entendue ? On peut l'espérer, d'autant que les sanctions risquent de s'alourdir considérablement dans un futur proche. En même temps, l'affaire révèle l'état d'esprit des opérateurs du secteur. Pour eux, la législation informatique et libertés n'est rien d'autre qu'une nuisance qui entrave leur activité commerciale. La vie privée des personnes n'est pas un espace qui doit être protégé mais un bien qui peut être vendu. N'est ce pas exactement la conception de l'information qui a force de droit dans les pays anglo-saxons ?

Sur le droit à l'oubli numérique : Chapitre 8, section 5 du manuel de libertés publiques.

1 commentaire:

  1. === LE CITOYEN AU DEFI DU MERVEILLEUX MONDE NUMERIQUE ===

    "Internet a inventé à la fois Big Brother et son antidote permanent" (Jean-Marie Messier). Telle est l'une des leçons que l'on peut tirer de la lecture attentive de votre dernier post. Post toujours aussi précis, équilibré et raisonnable qu'à l'habitude. Il peut se décrypter à trois niveaux s'emboîtant comme des poupées russes.

    1. Une menace croissante de l'atteinte aux libertés individuelles

    Le monde de la toile est aussi utile par les facilités qu'il procure que dangereux par les menaces insidieuses qu'il fait peser sur les citoyens. A trop et mal le fréquenter, on peut en être victime (volontaire ou involontaire) tant par les multiples intrusions dans sa vie dont on peut être l'objet (Cf. les sites de rencontres) que par les maladies honteuses qu'on peut contracter sur la toile (spams, virus, blocages, chantages...). Il devient de plus en plus urgent de se protéger ou d'être protégé contre toutes ces menaces.

    2. Un élargissement permanents des outils de contrôle efficaces et dissuasifs

    A cet égard, l'action originale de la CNIL est la
    bienvenue en complément des traditionnels recours juridictionnels lourds et coûteux. Si l'on vous lit bien, cette autorité administrative indépendante dispose d'une procédure à deux étages : une phase coopérative d'incitation à se mettre à niveau et une phase coercitive, en cas d'échec de la première, permettant l'application d'une sanction financière proportionnelle à la faute constatée. Dans le cas étudié, elle semble bien fonctionner.

    3. Une application automatique des garanties juridiques minimales

    Il est évident qu'un organisme, de quelque nature que ce soit, qui se voit doter de pouvoirs de sanction doit être soumis aux règles du droit à un procès équitable au sens de l'article 6 de la convention européenne des droits de l'homme (celles que le Conseil d'Etat exige des autres mais qu'il ne s'applique pas toujours à lui-même). Une justice (au sens large) qui décide la vie privée des citoyens demande des garanties précises et approfondies. Ceci est donc le cas avec la CNIL.

    En définitive, la révolution numérique permanente impose une révolution juridique permanente dans un état de droit digne de ce nom. "Internet, c'est une poudrière juridique" (André Haas).

    RépondreSupprimer