La Loi pour une République Numérique en date du 7 octobre 2016 a réaffirmé l'attachement de la République à la protection des données personnelles en complétant l'article 1 er de la loi informatique et libertés du 6 janvier 1978 ainsi : " Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi. "
Les sites de rencontre en ligne comme Meetic et Attractive World collectent un nombre important de données personnelles concernant leurs utilisateurs. Le fonctionnement même de leur modèle dépend de cette collecte : comment mettre en relation des personnes sans élément permettant de créer des liens entre elles ?
Cependant, les données collectées et traitées par ces sites sont des données extrêmement sensibles. Ainsi, ces sites internet peuvent demander à leurs utilisateurs leur sexe, leur couleur de peau, leur religion ou encore leur orientation sexuelle. Comment garantir la parfaite protection de la personne et de ses données à caractère sensible collectées massivement par les sites de rencontre en ligne ?
Suite à des contrôles effectués fin 2014 au sein de plusieurs sociétés éditant des plateformes de rencontre en ligne, la Commission Nationale de l'Informatique et des Libertés (CNIL) a constaté un nombre important de manquements à la loi informatique et libertés du 6 janvier 1978.
En juin 2015, la CNIL a ainsi mis en demeure les éditeurs des sites Meetic et Attractive World de se conformer aux obligations mises à leur charge en tant que responsables du traitement de telles données.
Le 15 décembre 2016, les deux sociétés n'ayant pas déféré à cette mise en demeure de manière satisfaisante, la CNIL les a condamnées respectivement à une sanction pécuniaire de 20 000 euros et 10 000 euros.
- Sur quel manquement porte cette sanction ?
Tout d'abord, les deux décisions ont été rendues sur le fondement de l'article 8 de la loi informatique et liberté. Cet article pose comme principe directeur que la collecte et le traitement de données sensibles (données faisant apparaitre directement ou indirectement les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses de la personne ou encore les données relatives à sa santé et à sa vie sexuelle) sont interdits.
Ce principe accepte plusieurs exceptions strictement encadrées par la loi. Ainsi, dans la mesure où la finalité du traitement l'exige - un site internet de rencontre ne peut exister sans que certaines données personnelles sensibles soient collectées - de telles données peuvent être traitées si et seulement si la personne concernée a donné " son consentement exprès ".
Les deux sociétés ont été condamnées pour manquement à cette obligation légale de recueil du consentement préalable et exprès de la personne à cette collecte.
La CNIL rappelle dans ses deux décisions qu'un consentement exprès est un consentement " libre, informé et spécifique ".
- Comment formaliser un tel consentement ?
Selon les sociétés éditrices de ces sites de rencontre, la case unique à cocher relative à la fois :
- à l'acceptation des conditions générales d'utilisation de la plateforme,
- à la majorité de la personne,
- et à l'acceptation du traitement de données relatives à son orientation sexuelle
suffisait à garantir le consentement exprès de l'utilisateur.
Pour la Commission, cette case unique étant relative à trois informations parfaitement distinctes ne permet pas un consentement exprès. L'information portant sur la collecte de données sensibles est " diluée " : l'internaute accepte la collecte de ses données sensibles en acceptant les conditions d'utilisation du site. Or, à défaut de consentement exprès l'interdiction de collecte des données sensibles demeure.
Les deux sociétés n'ayant pas, dans le délai de six mois imparti par la CNIL, mis en place une case distincte et spécifique à cette collecte, comme elles y étaient invitées par la Présidente de la CNIL, elles ont été sanctionnées.
En outre, la CNIL a estimé que du fait de la nature et du volume des données traitées[1] ainsi que de la nécessité de sensibiliser les internautes et l'ensemble des responsables de traitement concernant leurs obligations en la matière, ces décisions devaient être rendues publiques.
La collecte d'éléments relevant de l'intimité de chaque personne doit ainsi toujours faire l'objet d'un consentement exprès, libre, informé et spécifique qui, selon les recommandations de la CNIL, se traduit par la présence d'une case à cocher distincte au moment de l'inscription de l'utilisateur sur un site de rencontre. C'est ce que Attractive World a finalement fait fin 2016 et ce que s'est engagé à faire Meetic.
Il est à noter que ce faisant la CNIL s'inscrit dans la droite ligne du considérant 27 du Règlement (UE) 2016/679 relatif aux données personnelles en date du 27 avril 2016 qui affirme que " le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel [...] cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet ".
A notre sens, la case spéciale à cocher doit être complétée par un lien hypertexte permettant à l'internaute de prendre directement et simplement connaissance de la politique de confidentialité de la plateforme.
Pour toute demande d'information, contacter nous ICI.
[1] En octobre 2015, Meetic totalisait 7,8 millions de visites uniques mensuelles.
Jeu de briques
Snake
Pacman
Bubble