• Home  / 
  • DELIBERATION 2011-203

DELIBERATION 2011-203

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés, réunie en sa formation restreinte sous la présidence de Mme Claire DAVAL ;

Etant aussi présents MM. Jean-Marie COTTERET, Claude DOMEIZEL et Sébastien HUYGHE, membres ;

Vu la Convention n°108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2011-334 du 29 mars 2011, notamment ses articles 45 et 46 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret
n° 2007-451 du 25 mars 2007 ;

Vu la délibération n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu le rapport de M. Bernard PEYRAT, commissaire rapporteur, notifié par porteur à la société PAGES JAUNES, le 6 mai 2011 ;

Vu les observations en réponse apportées par la société PAGES JAUNES par Maître G., son conseil, par lettre en date du 1er avril 2011, ainsi que le courrier complémentaire adressé en vue de la séance de la formation restreinte du 5 juillet 2011 ;

Vu les autres pièces du dossier ;

Après avoir entendu, lors de sa réunion du 5 juillet 2011 :

- M. Bernard PEYRAT, commissaire, en son rapport ;
- Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations ;
- Maîtres P. et G., conseils de la société PAGES JAUNES, en la présence de Monsieur P, secrétaire général, et Mme N, responsable juridique du groupe Pages Jaunes,

Les représentants de la société mise en cause ayant pris la parole en dernier,

A adopté la décision suivante :

I. FAITS ET PROCEDURE

La société PAGES JAUNES (ci-après la société ) appartient au groupe PAGES JAUNES qui édite notamment la version papier de l'annuaire universel, ainsi qu'un annuaire en ligne associé au portail internet d'informations locales www.pagesjaunes.fr .

La société propose également le service Pages Blanches , qui diffuse les informations figurant dans l'annuaire téléphonique des particuliers, disponible à l'adresse Web suivante : http://www.pagesjaunes.fr/pagesblanches .

Le 25 mars et le 12 avril 2010, la CNIL a été alertée par deux plaintes concernant la fonctionnalité dite de webcrawl du service Pages Blanches offert par la société.

Cette fonctionnalité, que la société a annoncé avoir suspendue depuis le 21 mars dans l'attente de la décision de la formation restreinte de la Commission, permet d'ajouter aux résultats de recherche obtenus sur une personne déterminée les données à caractère personnel collectées sur les sites COPAINS D'AVANT, FACEBOOK, VIADEO, LINKEDIN, TWITTER, TROMBI. Les profils communautaires de toutes les personnes portant le même nom patronymique que celui recherché sur le site Pages Jaunes apparaissent ainsi sur la page de résultats.

Ainsi, cette fonctionnalité fait figurer, à partir d'une recherche sur un seul nom patronymique, les données classiques de l'annuaire (identité, coordonnées téléphoniques et adresse postale) ainsi qu'une photographie, une vue aérienne et un plan d'accès du lieu d'habitation, mais encore les données concernant la personne, issues des réseaux sociaux : nom, prénom, photographie, pseudonymes, établissements scolaires, employeurs, profession, localisation, etc. Un tri est en outre possible à partir des données de l'employeur, de l'établissement scolaire et de la localisation des personnes, dans une rubrique Affiner par mots-clés .

Sur la base des plaintes susmentionnées, qui révélaient l'absence de prise en compte de demandes d'opposition formées par deux particuliers afin que les informations les concernant, issues des réseaux communautaires, ne soient plus diffusées sur le service Pages Blanches , le Président de la CNIL a ordonné une mission de contrôle sur place auprès du siège social de la société à SEVRES (92), le 27 mai 2010, puis dans les locaux de son établissement secondaire, à RENNES (35), le 1er juin 2010 (décision n°2010-137C du 20 mai 2010).

Lors de ce contrôle, la délégation de la CNIL a examiné :
- le traitement de données à caractère personnel relatif à la publication de profils communautaires dans le cadre du service Pages Blanches ;
- le traitement de données réalisé à l'occasion des requêtes effectuées sur le portail Pages Jaunes .

Sur la foi des constats effectués lors de ce contrôle, le Président de la Commission a désigné M. Bernard PEYRAT, Commissaire, membre de la CNIL, en qualité de rapporteur, afin d'engager à l'encontre de la société une procédure de sanction fondée sur le I de l'article 45 de la loi du 6 janvier 1978 modifiée.

A l'issue de son instruction, estimant que la société avait manqué à plusieurs obligations lui incombant en application de la loi du 6 janvier 1978 modifiée, le rapporteur détailla chacun des manquements reprochés à la société dans un rapport notifié par porteur à la société, le 6 mai 2011. Aux termes de ce rapport, le rapporteur a proposé à la formation restreinte de la CNIL de prononcer à l'encontre de la société un avertissement, dont il a par ailleurs demandé qu'il soit rendu public.

La société, par courrier en date du 6 juin 2011, a réagi à ce rapport en réitérant des observations précédemment soumises à la Commission par courrier en date du 1er avril 2011. Elle a également présenté ses observations orales lors de la séance de la formation restreinte du 9 juin 2011.

II. MOTIFS DE LA DECISION

1. Sur le grief de collecte déloyale des données et d'absence d'information des personnes quant à l'indexation de leurs profils sur les réseaux sociaux

- Aux termes du 1° de l'article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée, les données à caractère personnel sont collectées et traitées de manière loyale et licite .

La formation restreinte doit tout d'abord se prononcer sur le fait de savoir si la collecte effectuée en l'espèce par la société doit être considérée comme déloyale au sens de cette disposition, en ce qu'elle prévoit d'aspirer les profils issus des réseaux sociaux sur Internet sans que les personnes concernées en aient été préalablement informées.

Sur ce point, la société soutient que toute personne renseignant volontairement des informations la concernant sur son profil de réseau social et qui ne souhaite pas utiliser les outils de restriction d'accès à son profil ne saurait prétendre ignorer que ces informations seront affichées sur Internet, notamment sur les pages de résultat des moteurs de recherche. Au contraire, l'absence de limitation de la diffusion de son profil ou de l'accès à son profil constituerait même une manifestation claire et non équivoque de la volonté de la personne d'apparaître sur le web et d'être indexée par les moteurs de recherche afin d'augmenter sa visibilité sur Internet.

La formation restreinte considère que la circonstance que des profils personnels sont affichés publiquement sur Internet ne permet pas pour autant à un organisme tiers de procéder à une collecte massive, répétitive et indifférenciée de ces données sans en avertir les personnes concernées.

Si les personnes concernées se sont inscrites sur des réseaux sociaux de leur plein gré, il ne résulte pas de cette démarche volontaire que l'ensemble de ces personnes aient également accepté, systématiquement et en toute conscience, que leurs informations communautaires soient récupérées par des tiers pour être agrégées à leurs données d'annuaires et diffusées sur le réseau.

Au surplus, une telle intention ne saurait à l'évidence être imputée à des personnes mineures dont les profils apparaissent également sur le site Pages Blanches . En effet, il est connu que les jeunes générations n'ont que rarement conscience de la portée de la diffusion d'informations personnelles par les réseaux sociaux, dont elles sont par ailleurs les plus fervents utilisateurs. Leur attribuer une intention positive que leurs informations soient reprises le plus largement possible sur le réseau, y compris sur un service d'annuaire enrichi, semble excessif dans ce contexte. Au contraire, une telle collecte de données à caractère personnel est d'autant plus problématique qu'elle concerne une population jeune et vulnérable, qu'il est essentiel de particulièrement protéger.

De même, une telle intention ne peut sérieusement être imputée aux personnes ne souhaitant pas apparaître dans l'annuaire universel, notamment celles s'étant inscrites sur la liste dite rouge de l'annuaire, qui, toutefois, figureraient dans les résultats de requêtes Pages Blanches si elles avaient par ailleurs un profil non restreint dans un réseau social. Sur ce point, il est inopérant d'arguer que le service Pages Blanches , dans de telles circonstances, diffuse certes des éléments issus des réseaux sociaux sur les personnes, mais ne communique pas leurs coordonnées téléphoniques, qui ne figurent pas dans l'annuaire. En effet, les personnes s'étant inscrites sur liste rouge ont, par un acte positif, manifesté leur opposition à ce qu'aucune information les concernant ne figure sur le service Pages Blanches , que ce soit leurs coordonnées téléphoniques et postales, ou a fortiori leur identité, leur photographie ou leur profession.

- La société considère, en second lieu, que ce grief de collecte déloyale doit être écarté dès lors qu'elle satisferait par ailleurs aux conditions d'information des personnes qui lui incombent en application de l'article 32 de la loi du 6 janvier 1978 modifiée.

Le I de cet article prévoit que le responsable du traitement doit fournir à la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant des informations sur l'identité du responsable du traitement, la finalité de ce traitement, le caractère obligatoire ou facultatif des réponses, les destinataires, les droits d'accès, de rectification et, le cas échéant, d'opposition aux données les concernant ainsi que des transferts de données envisagés à destination d'un Etat non membre de la Communauté européenne .

A cet égard, la société ne conteste pas que les personnes détentrices de profils communautaires sur des réseaux sociaux ne sont pas informées préalablement par la société que leurs profils seront extraits puis intégrés dans une page de résultats du service Pages Blanches , cette information étant à son sens impossible à fournir avant la mise en ligne aux personnes qui ont été crawlées par son service.

Elle se prévaut en revanche des différentes exceptions à l'obligation d'information des personnes préalablement à la collecte, telles que prévues par l'article 32-III de la loi.

- Le premier paragraphe de cet article prévoit ainsi que lorsque les données à caractère personnel n'ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

A cet effet, la société indique avoir inséré une mention en bas de la page des résultats des réseaux sociaux du site Pages Blanches , indiquant que Les données personnelles figurant sur cette page ont été trouvées sur les sites COPAINS D'AVANT, FACEBOOK, LINKEDIN, TROMBI, TWITTER ET VIADEO. Conformément à la loi Informatique et Libertés (article 38 de la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004), vous bénéficiez d'un droit d'accès ou de suppression de votre profil sur le service PagesBlanches en cliquant ici

Sur ce point, la formation restreinte relève que si la société a bien inséré une telle mention en bas de la page des résultats des réseaux sociaux du site Pages Blanches , aux fins d'information des personnes, cette information est tardive dès lors que l'article 32-III impose à la société de procéder à l'information des personnes au plus tard lors de la constitution de ses bases de données, et que tel n'est pas le cas en l'espèce.

En outre, elle relève que cette mention d'information ne s'adresse pas aux personnes dont les données ont été collectées sur les réseaux sociaux, mais à celles effectuant les requêtes sur le site. Or il est évident que ces personnes seront, dans une très large mesure, des tiers par rapport à ce traitement puisque, en toute logique, les personnes qui consultent le site Pages Blanches ne sont pas celles dont les profils sont affichés.

La société ne peut donc être considérée comme étant en conformité à la loi sur ce point.

- En second lieu, et à défaut, la société se prévaut des dispositions du second paragraphe du III de l'article 32 de la loi, qui prévoit qu'il peut être fait exception à l'application des dispositions précédentes lorsque la personne concernée est déjà informée des éléments énumérés au I de l'article 32.

A cet effet, elle soutient que les personnes utilisatrices des réseaux sociaux, notamment de Facebook, sont expressément informées par ceux-ci qu'à défaut de restreindre l'accès à leur profil, les données personnelles y figurant peuvent être indexées par des moteurs de recherche tiers (...) sans restriction de confidentialité. Ces informations peuvent également être associées à vous, y compris à votre nom et à votre photo de profil, même en dehors de Facebook, par exemple sur des moteurs de recherche ou lorsque vous visitez d'autres sites Internet.

Ainsi, la société soutient que les personnes dont les données ont été indexées par le service Pages Blanches et diffusées sur la page de résultat ont été informées de l'accessibilité par tout public à leurs informations personnelles, si bien qu'elle ne serait pas tenue de les informer à nouveau, conformément à l'article 32-III de la loi susvisée.

Sur ce point, la formation restreinte admet qu'il pourrait effectivement être suffisant, pour que la société satisfasse aux exigences de cet article, que les conditions générales d'utilisation des réseaux sociaux informent leurs utilisateurs de l'utilisation ultérieure qui sera faite de leurs données par la société, dès lors que l'information fournie serait suffisamment spécifique, claire et précise quant à l'existence et aux modalités de ce traitement ultérieur.

En l'occurrence, il appartient donc à la formation restreinte de déterminer si la société peut légitimement se prévaloir à cette fin de la clause d'information générale stipulée par le réseau social Facebook dans sa politique de confidentialité, selon laquelle les données que ses utilisateurs mettent en ligne sur ses plateformes sont susceptibles d'être indexées par un moteur de recherche tiers .

A cette fin, elle constate que si la société a effectivement recours à une fonction de recherche d'informations indexées dans ses propres bases de données pour la fourniture de son service d'annuaire, son activité principale n'a en revanche jamais consisté en la mise en œuvre d'une application permettant de retrouver des ressources extérieures à celles enregistrées dans ses bases, conformément à l'acception générale du terme moteur de recherche employé par les usagers d'Internet.

Dès lors, la société a été malavisée de présumer que les utilisateurs de réseaux sociaux sauraient faire une interprétation extensive de ce terme pour y englober le prestataire d'un service d'annuaire.

En tout état de cause, la généralité de l'information diffusée dans la politique de confidentialité du réseau Facebook ne saurait satisfaire aux exigences posées par l'article 32 de la loi, qui prévoit que les personnes doivent être informées non seulement de l'existence de la collecte, mais également de ses principales modalités (finalités, droits garantis, transferts hors Union européenne, entre autres).

Dans ces conditions, la formation restreinte considère que la société ne peut se prévaloir de cette clause d'information générale pour prétendre s'être conformée à ses obligations légales.

- En dernier lieu, la société invoque les dispositions du second paragraphe du III de l'article 32 de la loi, qui prévoit qu'il peut être fait exception à l'application de ces dispositions quand l'information de la personne concernée se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche .

A cet effet, la société soutient que la mise en œuvre d'une telle information exigerait des efforts disproportionnés par rapport à l'intérêt de la démarche, compte tenu du nombre très important de personnes concernées et du coût disproportionné que supposerait une telle action. Elle soutient ainsi qu'elle a légitimement pu s'estimer exonérée de cette obligation générale d'information, sur le fondement de ces dispositions.

Sur ce point, la formation restreinte relève qu'il est ressorti de l'instruction contradictoire que la société a conclu un accord avec le site TROMBI afin que celui-ci rajoute sur son site une information spécifique relative à l'indexation par le service Pages Blanches .

Ainsi, il apparaît clairement que la conclusion d'accords avec les six réseaux sociaux crawlés par la société ne constitue pas une contrainte infranchissable. Si de telles démarches revêtent, certes, un caractère contraignant, elles se justifient parfaitement par la nécessité que les utilisateurs dont les profils personnels ont été indexés, c'est-à-dire 25 millions de personnes, soient dûment informés des traitements opérés sur leurs données sans que leur consentement préalable ait été requis.

- Ainsi, au vu des développements qui précèdent, la formation restreinte considère que la collecte effectuée par la société en l'espèce ne répond pas à la condition de loyauté posée par l'article 6 de la loi du 6 janvier 1978 modifiée.

Elle considère également que la société n'a pas pris les mesures nécessaires pour être en conformité aux exigences d'information préalable des personnes posées par le I l'article 32 de la loi du 6 janvier 1978 modifiée, et qu'elle ne peut se prévaloir d'aucune des exceptions à ces obligations prévues par le III de l'article 32 de cette même loi.

2. Sur le grief d'illicéité du filtrage des profils Facebook à des fins d'exclusion des non-résidents français et de non-respect de la finalité initiale du service Pages Blanches

Lors du contrôle effectué auprès de la société, il s'est avéré que celle-ci, en plus de la collecte des adresses Internet des profils publiés par les réseaux sociaux et de l'extraction dans les pages Internet correspondantes des informations accessibles publiquement, utilise le champ localisation du réseau social pour s'assurer que les données collectées ne correspondent qu'à des personnes résidant en France.

A défaut d'un tel champ sur le réseau social Facebook , et afin d'éliminer les pages correspondant à des profils de non résidents en France, la société procède à un filtrage des pages issues de ce réseau. Pour ce faire, la société extrait les couples nom/prénom de l'annuaire universel Pages Blanches et conserve ces données extraites dans un fichier intermédiaire, qui est ensuite croisé avec la base contenant les profils Facebook .

La formation restreinte doit décider si ces faits constituent un traitement illicite de données à caractère personnel au sens du 1° de l'article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée, ainsi qu'un détournement de finalité au sens du 2° de ce même article 6 qui prévoit que des données à caractère personnel ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités .

Pour sa part, la société défend cette pratique en invoquant l'article L. 35-4 du Code des postes et des télécommunications électroniques (CPCE), qui prévoit que l'annuaire universel comprend les noms ou raisons sociales, numéros téléphoniques et adresses de tous les abonnés aux réseaux ouverts au public, ainsi que la profession et les adresses électroniques des abonnés qui le souhaiteraient. Ainsi, selon elle, le traitement des données par la société est bien destiné à la fourniture de l'annuaire universel, celui-ci visant à permettre au public l'exercice du droit de communication et donc de retrouver une personne afin d'entrer en relation avec elle.

En effet, elle soutient que les modes de mise en relation et de communication ont évolué si bien que, désormais, la recherche des coordonnées d'une personne passerait essentiellement par le vecteur des moteurs de recherche Internet. Dans le cadre du traitement initial de la société, qui consiste à communiquer les coordonnées postales et téléphoniques de personnes résidant en France, la société est tenue d'exclure les données des profils non localisés en France, ce qui constituerait la raison légitime pour laquelle la société devrait procéder au filtrage des profils Facebook selon le pays de résidence des personnes. Cette pratique, selon la société, ne serait pas prohibée par le CPCE, si bien que le traitement ne serait pas illicite au sens de l'article 6-1° précité, ni contraire à la finalité initiale du traitement au sens de l'article 6-2°.

Sur ce point, la formation restreinte constate que l'article R.10-4-II du CPCE prohibe l'usage des listes d'abonnés à d'autres fins que la fourniture d'annuaires universels ou de services universels de renseignements téléphoniques . Ainsi, l'usage de la liste des abonnés et des utilisateurs à des fins de filtrage des profils Facebook étant sans lien avec les finalités assignées au service Pages Blanches , il ne peut qu'être jugé contraire à cette disposition du CPCE.

La formation restreinte considère donc que l'extraction des données de l'annuaire universel aux fins de filtrage des profils Facebook effectué par la société est illicite au sens du 1° de l'article 6 précité, et ne respecte pas la finalité initialement assignée au traitement, au sens du 2° de ce même article.

3. Sur le grief de non-respect de l'obligation de mise à jour des données

Aux termes du 4° de l'article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée, les données sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées .

En l'occurrence, la formation restreinte relève que les délais de mise à jour des profils issus des réseaux sociaux, tels qu'établis lors du contrôle, se sont révélés excessivement longs - parfois jusqu'à plus d'un an pour les plus anciens profils Twitter non mis à jour. Au jour du contrôle, 80 % des profils Facebook ; 49 % des profils Linkedin et 30% des profils Twitter n'avaient pas été mis à jour depuis plus de quatre mois. Au surplus, 56% des profils Facebook et 23% des profils Twitter n'avaient pas été mis à jour depuis plus de six mois.

Pour sa défense, la société soutient que des contrats seraient en cours de conclusion avec les réseaux sociaux français afin de recevoir quotidiennement les profils mis à jour, et qu'à défaut d'accord possible avec les réseaux sociaux étrangers, les informations résultant de ces derniers seraient supprimés.

La formation restreinte relève à cet égard que la cessation d'un manquement, quand bien même elle serait établie, ne lui retire pas moins la possibilité de retenir ce manquement aux fins du prononcé d'un avertissement. En l'occurrence, il apparaît que l'absence de mise à jour rapide des données est susceptible d'avoir posé des problèmes en cas de suppression ou de modification de profil. Les demandes de modification ou de suppression émises auprès des réseaux sociaux n'ont donc pas été prises en compte dans des délais satisfaisants.

La formation restreinte conclut donc à la méconnaissance par la société du 4° de l'article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée.

4. Sur le grief de non-respect des droits des personnes

L'article 38 de la loi du 6 janvier 1978 modifiée dispose que toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. Elle a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur (...) .

En outre, son article 40 dispose que toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite .

Il appartient à la formation restreinte de se prononcer sur la conformité aux articles 38 et 40 de la loi des procédures mises en œuvre par la société afin de permettre aux personnes concernées de faire valoir leurs droits.

En défense, la société admet que la procédure permettant de mettre en œuvre les droits d'accès et de suppression des personnes, telles qu'elles ont été identifiées lors du contrôle, n'était pas satisfaisante. Elle indique avoir pris des mesures pour la simplifier et réduire au maximum les délais de traitement des demandes de suppression.

En ce qui concerne le droit de rectification, la société soutient qu'elle ne peut matériellement satisfaire aux demandes de rectification des données sur la page de résultats de son service, dans la mesure où ces données sont générées automatiquement par l'indexation des informations inscrites par les personnes concernées sur les plateformes de réseaux sociaux. Selon elle, il conviendrait alors que cette personne s'adresse directement à la plateforme de réseau social et y modifie son profil afin que les informations indexées par le service Pages Blanches soient exactes.

Sur ce point, la formation restreinte constate, en premier lieu, que les personnes se connectant sur le service Pages Blanches étaient informées de la faculté d'exercice de leurs droits par une mention au bas de la page de résultats des réseaux sociaux du site Pages Blanches . Cette mention était incomplète, ne faisant pas référence aux droits d'opposition et de rectification ouverts aux personnes, en sus des droits d'accès et de suppression, et ne mentionnant pas davantage la faculté leur étant offerte d'utiliser une procédure autre que le recours à un formulaire électronique en ligne.

Elle relève, en second lieu, que la procédure électronique mise en œuvre pour faire valoir le droit de suppression au jour du contrôle était d'une complexité certaine, dès lors que la personne devait obligatoirement renseigner les champs suivants : url du profil à supprimer ; photocopie ou un scan d'une pièce d'identité (celle-ci devant être joint au format jpg ou pdf et ne pas excéder 300 Ko); mail ; nom et prénom . En outre, il était impossible de supprimer plus qu'un seul profil par formulaire, si bien que l'intéressé était contraint de remplir autant de formulaires en ligne que de profils détenus sur des réseaux sociaux. Les demandes d'opposition imprécises (absence de pièce d'identité ou url erronée) demeuraient quant à elles non traitées.

Elle relève également, en troisième lieu, que s'il est exact que les demandes de rectification de données doivent être principalement introduites auprès des réseaux sociaux, la société est en revanche tenue de mettre à jour régulièrement les données des utilisateurs, afin de tenir compte des modifications ou des suppressions de profils. Or tel n'est pas le cas, comme il a été précisé plus haut (cf. supra, point 3). Dans ces conditions, la société est responsable du fait que des demandes de rectification peuvent être à tout le moins partiellement privées d'effet en pratique.

Enfin, et en quatrième lieu, elle constate que le dispositif mis en place avait pour conséquence de ne donner aucune assurance quant au caractère définitif d'une suppression. En effet, dans l'hypothèse où les réseaux sociaux modifieraient les adresses url de profils, ou en cas de suppression d'un profil par son titulaire puis de création d'un nouveau profil associé à une nouvelle adresse url, la société référencera à nouveau les profils de personnes s'étant opposées au traitement de leurs données à caractère personnel. Or il s'avère que les personnes ne sont pas informées de l'absence de pérennité de leur demande d'opposition et du risque de nouvelle indexation de leurs profils communautaires.

En conséquence, la formation restreinte considère que les procédures instaurées par la société pour que les personnes concernées puissent faire valoir auprès d'elle les droits qu'elles détiennent en vertu des articles 38 et 40 susmentionnés ne sont pas conformes aux exigences de la loi du 6 janvier 1978 modifiée.

5. Sur le grief de non-respect de l'obligation de veiller à l'adéquation, à la pertinence et au caractère non excessif des données

Aux termes du 3° de l'article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée, les données à caractère personnel collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs .

Lors du contrôle, la délégation de la Commission s'est attachée à analyser le traitement de données réalisé à l'occasion des requêtes effectuées sur le portail www.pagesjaunes.fr. Il s'est avéré, à cette occasion, que la société collectait les adresses IP associées aux contenus, date et heure des requêtes effectuées sur le portail.

Il appartient à la formation restreinte de juger si une telle collecte est conforme aux dispositions de l'article 6-3° susmentionné.

Lors du contrôle comme dans ses observations en réponse, la société a indiqué conserver ces données à la seule fin de répondre aux réquisitions judiciaires, et aucunement à des fins statistiques, contrairement à ce qu'a soutenu le rapporteur.

Sur ce point, la formation restreinte considère qu'aucune obligation légale ne pèse sur la société quant à la conservation des adresses IP et des contenus des requêtes, quelle que soit la finalité de cette collecte.

En effet, la collecte et la conservation de l'adresse IP n'est aujourd'hui requise que dans des cadres légaux strictement définis. Le premier d'entre eux est celui fixé par l'article L. 34-1 du CPCE, qui impose aux opérateurs de communications électroniques de conserver les données relatives au trafic durant un an pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ou d'un manquement à l'obligation définie à l'article L. 336-3 du code de la propriété intellectuelle (prévention du téléchargement et de la mise à disposition illicites d'œuvres et d'objets protégés par un droit d'auteur ou un droit voisin).

De même, la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) impose aux fournisseurs d'hébergement et aux fournisseurs d'accès à Internet de conserver les données de nature à permettre l'identification des personnes ayant contribué à la création de contenus mis en ligne (blogs, pages personnelles, annonces sur un site de vente aux enchères ...), aux fins de communication éventuelle aux autorités judiciaires ainsi qu'aux services en charge de la lutte contre le terrorisme.

Or, en l'espèce, la société n'est ni opérateur de communications électroniques, ni fournisseur d'hébergement ou fournisseur d'accès à internet. De ce fait, aucune obligation légale n'impose à la société de conserver les adresses IP associées aux contenus, date et heure des requêtes effectuées sur le portail www.pagesjaunes.fr .

La formation restreinte considère donc cette collecte comme inadéquate, non-pertinente et excessive, contrairement aux exigences posées par l'article 6-3° susmentionné.

- Sur les manquements constatés et la publicité de la décision

Sans qu'il soit besoin de statuer sur les autres manquements, la formation restreinte considère, au vu de ce qui précède, que la société Pages Jaunes s'est rendue responsable de plusieurs violations des dispositions de la loi du 6 janvier 1978 modifiée.

Elle prend acte du fait que la société a suspendu le service dit de webcrawl du service Pages Blanches . Toutefois, elle relève que la procédure d'avertissement n'est pas soumise à l'adoption d'une mise en demeure préalable à laquelle la société aurait la faculté de se conformer pour échapper à toute sanction. Elle peut donc décider de sanctionner des faits passés, quand bien même les manquements auraient cessé.

En l'espèce, compte tenu de la sensibilité du service offert par la société PAGES JAUNES, du nombre de personnes concernées par le service litigieux (25 millions de personnes) et de l'importance de prévenir le renouvellement de ces manquements, la formation restreinte adresse un avertissement à l'encontre de la société.

En outre, afin que les personnes soient informées des droits leur étant accordés par la loi quant à la protection de leurs données à caractère personnel, et que les responsables de traitement soient mis en mesure de connaître les règles qui s'imposent à eux, la formation restreinte décide que cet avertissement sera rendu public.

PAR CES MOTIFS

Conformément aux articles 45 et suivants de la loi du 6 janvier 1978 modifiée, la formation restreinte de la CNIL, après en avoir délibéré, décide :

- De prononcer un avertissement à l'encontre de la société Pages Jaunes ;

- De rendre public cet avertissement.


La Présidente


Claire DAVAL

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: