• Home  / 
  • DELIBERATION 02-054

DELIBERATION 02-054

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Vu la convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive, n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, et notamment son article 21, pris ensemble le décret d'application 78-774 du 17 juillet 1978 ;

Vu la délibération n° 02-043 du 23 mai 2002 de la Commission nationale de l'informatique et des libertés décidant une mission de contrôle d'un traitement automatisé d'informations directement ou indirectement nominatives mis en oeuvre ou utilisé à l'occasion de l'envoi d'un sondage politique sur internet ;

Vu le règlement intérieur de la Commission, et notamment son article 57 ;

Vu le rapport relatif à la mission de contrôle effectuée en application de la délibération n° 02-043 du 23 mai 2002, notifié aux sociétés Impact Net et Clara Net le 13 juin 2002 par courriers en recommandé avec accusé de réception ,

Vu les courriers d'observation adressés à la Commission par les sociétés Impact Net et Clara Net, respectivement les 26 et 27 juin 2002 ;

Après avoir entendu Madame Cécile ALVERGNAT, Commissaire, en son rapport, et Madame Charlotte-Marie PITRAT, Commissaire du Gouvernement, en ses observations ;

Saisie par plusieurs internautes de la réception dans leur boîte aux lettres électronique, entre les deux tours des élections présidentielles, d'une enquête se présentant sous la forme d'un sondage politique intitulé "Le dernier sondage avant le second tour des élections présidentielles 2002", réalisé par Sondage Express ;

Cette enquête, sur laquelle apparaissaient deux logos, "Sondage express" et "OK2Mail", comportait une première partie ayant pour objet de recueillir les intentions de vote des internautes au second tour des élections présidentielles, leur vote exprimé au premier tour, leur civilité, leur année de naissance et leur catégorie socio-professionnelle. Le mail adressé aux internautes indiquait "ce sondage non nominatif est adressé à un panel de 100.000 internautes" et comportait la mention suivante : "Aucun fichier informatique nominatif n'est constitué par Sondage Express".

La deuxième partie du message était destinée à recueillir l'adresse électronique des personnes qui souhaitaient être informées des résultats ; les internautes ne souhaitant plus "participer aux sondages express" étaient de même invités à saisir leur adresse électronique. Aucune mention d'information relative aux prescriptions de l'article 27 de la loi du 6 janvier 1978 ne figurait sur le message, les internautes n'étant, en tout cas, pas informés que les données les concernant étaient susceptibles d'être communiquées à des tiers.

Le message comportait enfin une troisième partie permettant aux internautes de parrainer d'autres internautes en communiquant, par le biais d'un formulaire de collecte, 10 adresses électroniques. Là encore, aucune mention d'information relative aux prescriptions de l'article 27 ne figurait sur le support de collecte des adresses électroniques des personnes dont l'adresse électronique était ainsi communiquée.

Les investigations menées par la Commission ont permis de constater que les deux logos figurant sur le mail adressé aux internautes correspondaient à deux noms de domaines enregistrés par la société Impact Net. Interrogée par les services de la Commission, la société Impact Net a reconnu qu'un fichier d'adresses électroniques établi dans le cadre de son site 101cadeaux.com, édité par ses soins, avait été utilisé pour adresser le sondage politique à 10.000 internautes mais précisait que l'opération était accomplie pour le compte d'un tiers. La Commission relevait que la déclaration de traitement automatisé d'informations nominatives relative au site 101cadeaux effectuée en application de l'article 16 de la loi du 6 janvier 1978 par la société Impact Net précisait que les adresses électroniques collectées par ce site feraient exclusivement l'objet d'un usage interne et ne seraient pas communiquées ou utilisées pour le compte de sociétés extérieures.

Par délibération n° 02-043 en date du 23 mai 2002, la Commission a décidé de procéder à une mission de contrôle des traitements d'informations nominatives ayant permis l'envoi du sondage par internet, des traitements d'informations nominatives d'exploitation des adresses électroniques des internautes ayant répondu au sondage ou des personnes parrainées, ainsi que du traitement des résultats du sondage afin de s'assurer que ce dernier était dépourvu de tout caractère nominatif.

Cette mission de contrôle s'est déroulée le 5 juin 2002 auprès de la direction commerciale de la société Impact Net (61 rue Danton - 92 Levallois-Perret) puis, le 6 juin 2002 auprès de la société Clara Net, hébergeur d'Impact Net, (68 rue du Faubourg St Honoré - 75008 Paris).

Les investigations menées par la délégation de la Commission le 5 juin 2002 auprès d'Impact Net ont permis d'identifier sur le serveur Cobalt de cette société, hébergé par Clara Net, un fichier-texte comportant 19.056 réponses au sondage politique associées, dans la quasi-totalité des cas (entre 12.000 et 13.000 réponses) aux adresses électroniques des internautes.

Etaient ainsi enregistrés dans ce traitement automatisé, en langage clair, l'adresse électronique de l'internaute, le nom du candidat pour lequel il avait déclaré avoir l'intention de voter au second tour des élections présidentielles, le caractère définitif ou non de cette intention, le nom du candidat pour lequel il avait voté au premier tour ou, le cas échéant, l'indication de son abstention, sa civilité, son année de naissance et sa catégorie socio-professionnelle.

1 - Le gérant d'Impact Net, dans les observations qu'il a fait parvenir à la Commission par lettre recommandée avec accusé de réception en date du 26 juin 2002, conteste le "caractère nominatif du fichier trouvé sur le serveur Cobalt" au motif qu'il ne comporterait que des adresses électroniques et "qu'à aucun moment les adresses e-mail associaient en même temps le nom, le prénom ou la société d'une personne".

Une telle analyse ne saurait emporter l'adhésion, En effet, de nombreuses adresses électroniques d'internautes ayant répondu au sondage comportent le nom de l'intéressé et l'initiale de son prénom, associés dans le fichier à d'autres renseignements (civilité, année de naissance, catégorie socio-professionnelle) ; en tout état de cause, ces adresses électroniques permettent à qui en dispose d'entrer en contact via internet avec ces correspondants et constituent des informations, directement ou indirectement, nominatives au sens de l'article 4 de la loi du 6 janvier 1978 qui précise que "sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent".

Dès lors, le fichier en cause constitue un traitement automatisé d'informations nominatives au sens de la loi du 6 janvier 1978.

Il résulte des constations opérées par la Commission que la mention figurant dans le mail adressé aux internautes les informant que le sondage politique était non nominatif et qu'aucun traitement nominatif n'était constitué était mensongère, la collecte des informations nominatives ayant dès lors été opérée dans des conditions illicites et déloyales au sens de l'article 25 de la loi du 6 janvier 1978, infraction réprimée par l'article 226-18 du code pénal.

En outre, le fichier des réponses au sondage, mis au jour par la mission de contrôle, comportant l'expression des opinions politiques des personnes concernées, il est contraire aux dispositions de l'article 31 de la loi du 6 janvier 1978 qui dispose qu'il est "interdit de mettre ou conserver en mémoire informatique, sauf accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales, les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les moeurs des personnes".

Ainsi la mise en oeuvre et la conservation d'un tel fichier réalise l'infraction réprimée par l'article 226-19 du code pénal.

2 - Le gérant d'Impact Net avance dans ses observations écrites qu'aucun élément ne permet d'établir que le fichier comportant les réponses au sondage politique associées aux adresses électroniques des internautes était placé sous sa responsabilité. Il indique ainsi qu'Impact Net est étrangère à l'opération et qu'elle n'avait joué, en amont, que le rôle classique d'un loueur d'adresses, et, en aval, que le rôle de "sous-hébergeur" pour le compte d'autrui du fichier litigieux.

La Commission se bornera à observer, à ce stade, que le message adressé aux 100.000 internautes n'avait pour seul expéditeur que Sondage Express qui déclarait de surcroît explicitement le réaliser, que Sondage Express précisait ne constituer aucun fichier informatique nominatif, que les internautes ne souhaitant plus recevoir de message de ce type étaient invités à le faire savoir à Sondage Express, ce nom de domaine ayant été enregistré par la société Impact Net ; que le logo "OK2Mail" apparaissant dans le message est également un nom de domaine enregistré par Impact Net ; que le fichier litigieux a été retrouvé sur le serveur d'Impact Net, hébergé par Clara Net, sans qu'Impact Net ait produit quelque éventuel contrat de "sous-hébergement" au bénéfice d'un tiers ; qu'enfin, Impact Net a cru devoir supprimer purement et simplement ce fichier à l'issue des investigations de la Commission, initiative qui parait attester qu'elle en avait la responsabilité exclusive.

Il apparaît en outre vain de soutenir, comme le fait la société Impact Net, qu'elle n'aurait assuré qu'une prestation d'hébergement pour le compte d'un éventuel client et d'invoquer les dispositions de l'article 43-8 de la loi du 30 septembre 1986 relative à la liberté de communication, issues de la loi n° 2000-719 du 1er août 2000, qui exonère dans certaines conditions de toute responsabilité les personnes physiques ou morales qui assurent le stockage direct et permanent d'informations ou autres messages "pour mise à disposition du public". En effet, il n'est pas contesté que le fichier mis au jour par la Commission n'avait ni pour nature ni pour vocation d'être mis à la disposition du public. Dès lors, les dispositions précitées ne sauraient être utilement invoquées par Impact Net pour échapper aux responsabilités qui sont les siennes.

3 -Les investigations menées par la délégation de la Commission le 6 juin 2002 auprès de la société Clara Net, hébergeur de la société Impact Net, ont en outre permis d'établir que des fichiers informatisés dans lesquels sont enregistrées des informations nominatives n'ont pas été déclarés par la société Impact Net à la Commission, en infraction avec l'article 16 de la loi du 6 janvier 1978 qui en fait obligation. Pour exemple, lapme.net, courrierfinancier.com, courriermédical.com ou encore, koobuycity.com sont des noms de domaines de sites internet permettant la collecte de données personnelles qui ont été enregistrés dans le registre des noms de domaines - le "Whois ?"- par Impact Net.

Cette absence de déclarations de traitements automatisés d'informations nominatives auprès de la Commission, préalablement à leur mise en oeuvre, constitue l'infraction réprimée par l'article 226-16 du code pénal.

4 - Enfin, Impact Net ne conteste pas avoir utilisé, dans le cadre de l'envoi du sondage en cause, un fichier d'adresses électroniques collectées à partir du site 101cadeaux.com qu'elle édite mais fait valoir qu'une telle utilisation pour le compte de tiers serait régulière.

La Commission relève que si les mentions d'informations à destination des internautes qui se connectent sur ce site sont, au jour de la présente délibération, régulières au regard des exigences de la loi du 6 janvier 1978, le site 101cadeaux.com était inaccessible au moment des investigations de la Commission et que la déclaration qui en a été faite à la CNIL le 16 juillet 2001, et non modifiée depuis lors, précise que les adresses électroniques collectées par ce site ne sont pas cédées à des tiers. Dès lors, l'utilisation qui a été faite des adresses électroniques collectées à partir de 101cadeau.com n'est pas conforme à la déclaration faite à la CNIL en application de l'article 16 de la loi du 6 janvier 1978, ce qui constitue l'infraction prévue par l'article 226-16 du code pénal.

L'ensemble dues faits, susceptibles d'être imputables à la société en commandite simple impact Net, et à tous autres, paraissent, à ce stade, suffisamment établis et constituent une atteinte caractérisée aux dispositions dont la CNIL a pour mission d'assurer l'application.

En revanche, il y a lieu d'observer que Clara Net, hébergeur d'Impact Net, est hors de cause.

En conséquence,

DECIDE, en application des dispositions de l'article 21-4° de la loi n° 78-17 du 6 janvier 1978, de dénoncer au Parquet :

- la collecte d'adresses électroniques opérée par un moyen frauduleux, déloyal ou illicite en ce que les internautes sollicités ont été faussement informés que le sondage ne revêtait aucun caractère nominatif alors que leurs réponses étaient associées à leur adresse électronique, information indirectement nominative au sens de l'article 4 de la loi du 6 janvier 1978, fait susceptible de constituer l'infraction visée par l'article 226-18 du code pénal,

- la mise en oeuvre d'un traitement automatisé d'informations nominatives faisant apparaître les opinions politiques des personnes, sans que leur consentement exprès ait été préalablement recueilli, en l'espèce, la collecte et l'enregistrement des votes exprimés au premier tour des élections présidentielles et des intentions de vote au second tour associés aux adresses électroniques des internautes et aux autres informations suivantes : année de naissance, civilité, catégorie socio-professionnelle, fait susceptible de constituer l'infraction visée par l'article 226-19 du code pénal,

- le fait de procéder à des traitements automatisés d'informations nominatives sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par le loi du 6 janvier 1978, en l'espèce les informations nominatives collectées à partir des sites suivants : lapme.net, courrierfinancier.com, courriermedical.com, koobuycity.com, faits susceptibles de constituer l'infraction visée par l'article 226-16 du code pénal.

- le fait d'avoir utilisé les adresses électroniques collectées à partir du site 101cadeaux.com alors que la déclaration de traitement de ce site effectuée le 16 juillet 2001 et enregistrée sous le n° 761393 DO précisait que les données ainsi collectées ne seraient pas utilisées pour le compte de tiers, fait susceptible de constituer l'infraction visée par l'article 226-16 du code pénal.

TRANSMET au Parquet la présente délibération accompagnée de la copie informatique du fichier litigieux.

Le Président, Michel GENTOT.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: