La Commission nationale de l'informatique et des libertés (CNIL), dans deux délibérations du 15 décembre 2016, prononce des sanctions pécuniaires à l'encontre de deux sites de rencontres actifs sur internet,
Attractive World et
Meetic. Le premier a été condamné à une
amende de 10 000 €, le second à une
amende de 20 000 €. Cette différence ne s'explique pas par la nature du manquement aux règles relatives à la protection des données personnelles mais par l'importance et le nombre d'abonnés de chacune des sociétés concernées.
Toutes deux ont effet traité avec une même légèreté les contraintes imposées par la
loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Les contrôles effectués en 2014 par la CNIL ont mis en lumière toute une série de manquements. Les uns concernent les formalités préalables à la création des traitements informatisés conservant des données personnelles. Les autres sont relatifs à la pertinence des informations stockées. La violation la plus importante de la loi demeure cependant l'absence de réel consentement exprès des intéressés.
Un pouvoir de sanction renforcé
Le pouvoir de sanction attribué à à la CNIL dès 1978 a été considérablement renforcé d'abord par la
loi du 6 août 2004, puis par celle du 29 mars 2011 qui modifie l'organisation de la Commission pour dissocier les phases de poursuite, d'instruction et de sanction. Désormais, et c'est le cas en l'espèce, les sanctions sont prononcées par une formation restreinte qui ressemble de plus en plus à une juridiction.
Contrairement à ce qui est parfois affirmé, le pouvoir de sanction exercé par la CNIL n'est pas un pouvoir "juridictionnel". Dans sa
décision du 19 février 2008, le juge des référés du Conseil d'Etat affirme certes que la CNIL peut "
eu égard à sa nature, à sa composition et à ses attributions, être qualifiée de tribunal au sens de l'article 6 § 1 de la convention européenne des droits de l'homme". Mais l'on sait que cette analyse repose sur la jurisprudence de la Cour européenne des droits de l'homme (CEDH) qui n'hésite pas à qualifier de tribunal des autorités administratives, à seule fin de faire peser sur elles les contraintes de procédures liées aux exigences du droit à un juste procès consacré par
l'article 6 § 1. Aux yeux de la Cour, un organe disciplinaire ou administratif peut être qualifié de "tribunal" au sens autonome que l'article 6 donne à cette notion, quand bien même il ne serait pas appelé "tribunal" ou "cour" dans l'ordre juridique interne (
CEDH, 29 avril 1988 Belilos c. Suisse). C'est exactement ce que fait le juge des référés du Conseil d'Etat dans sa décision de 2008. Il veut seulement rappeler que la CNIL doit respecter le principe d'impartialité au sens de l'article 6 § 1, sans pour autant lui donner une fonction juridictionnelle, ce qui constituerait une remise en cause de la notion même d'autorité administrative indépendante, créée précisément pour la CNIL.
Les sanctions elles mêmes ont été, en quelque sorte, gonflées. Elles sont devenues de plus en plus dissuasives, jusqu'au
règlement du Parlement européen et du Conseil du 27 avril 2016 qui autorise des amendes administratives pouvant s'élever jusqu'à 20 000 000 € ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial. Ces chiffres considérables visent essentiellement les GAFA (
Google, Amazon, Facebook, Apple) et non pas les sites de rencontres, opérateurs tout de même un peu plus modestes. A l'époque de la sanction prononcée à l'encontre d'
Attractive World et de
Meetic, le montant des sanctions applicables étaient, en tout état de cause, plus modeste mais déjà proportionné à la place de l'entreprise sur le marché.
L'art de jouer la montre
Dans le cas des deux sites de rencontres, les méchantes langues diraient qu'ils ont bien cherché ce qui leur est arrivé. Après le contrôle de 2014, ils ont fait l'objet de plusieurs mises en demeure portant sur sept manquements à la loi. A l'issue des trois mois accordés, ils n'avaient régularisé que trois des sept points pour l'une, et deux pour l'autre. Ils ont ensuite obtenu un délai de six mois, allant jusqu'en janvier 2016 pour se mettre en conformité. A l'issue de ce nouveau délai, la CNIL n'a pu que constater que rien n'avait été fait. D'autres réunions ont eu lieu, à la demande des sociétés, sans pour autant conduire à un résultat. En termes moins procéduraux, on pourrait dire que les sites ont laissé pourrir la situation pendant deux ans, espérant sans doute que la CNIL renoncerait.
Agence Matrimoniale. Jean-Paul Le Chanois. 1952
Bernard Blier et Louis de Funes
Un seul clic
Ce long bras de fer porte sur un point qui pourrait sembler d'un intérêt marginal. Chaque abonné au site de rencontres lui confie en effet des données extrêmement intimes, et notamment celles portant sur ses préférences sexuelles. Dans ce cas, l'article 8 de la loi du 6 janvier 1978 prévoit que la collecte et le stockage d'informations particulièrement sensibles sont subordonnés au consentement exprès de l'intéressé.
Or, les utilisateurs de Attractive World et de Meetic cliquaient une seule fois, lors de leur inscription, pour approuver les Conditions générales d'utilisation (CGU). Cet unique "clic" conduisait à accepter à la fois les conditions générales d'utilisation dans le sens habituel du terme, mais aussi à déclarer que l'on remplissait la condition de majorité, et enfin que l'on consentait à la collecte et à la conservation de données portant sur ses préférences sexuelles. Autrement dit, la question de ces données extrêmement sensibles se trouvait diluée dans un ensemble plus vaste et l'internaute ne percevait pas réellement l'importance des données qu'il confiait.
La formation restreinte de la CNIL considère que cette procédure constitue peut-être un consentement, mais certainement pas un consentement
exprès. Seule une cache à cocher spécifiquement dédiée à cette collecte de données sensibles, à l'endroit précis où elles sont demandées à l'abonné, peut répondre à cette exigence. Cette décision est à rapprocher,
mutatis mutandis, de l'arrêt rendu par
le Conseil d'Etat le 11 mars 2015. Le juge administratif avait alors considéré comme non conforme à la loi du 6 janvier 1978 le fait de prévoir le consentement à une prospection électronique par un seul clic
via les
Conditions générales d'utilisation.
En l'espèce, la Commission fait d'ailleurs observer que d'autres données sont sensibles peuvent être conservées, comme les origines raciales ou ethniques, ou encore les convictions religieuses. Même si l'internaute n'est pas tenu de renseigner cette partie du formulaire, le caractère facultatif de la collecte n'a pas pour effet de faire disparaître le caractère sensible des données.
Dans les deux cas, les sanctions prononcées sont rendues publiques par la CNIL, compte tenu de la "particulière gravité des faits" et du volume des informations traitées. Cette publicité vise, à l'évidence, à faire un exemple, ou plutôt deux exemples. La CNIL sera-t-elle entendue ? On peut l'espérer, d'autant que les sanctions risquent de s'alourdir considérablement dans un futur proche. En même temps, l'affaire révèle l'état d'esprit des opérateurs du secteur. Pour eux, la législation informatique et libertés n'est rien d'autre qu'une nuisance qui entrave leur activité commerciale. La vie privée des personnes n'est pas un espace qui doit être protégé mais un bien qui peut être vendu. N'est ce pas exactement la conception de l'information qui a force de droit dans les pays anglo-saxons ?
Sur le droit à l'oubli numérique : Chapitre 8, section 5 du
manuel de libertés publiques.