La Cnil prononce un avertissement public contre une société pour transmission de données inexactes sur ses abonnés (1).
En application de l’article L.34-1 du Code des postes et des communications électroniques (2), les fournisseurs d’accès à Internet ont l’obligation de conserver les données techniques de leurs clients à des fins de mise à disposition de l’autorité judiciaire ou de la Hadopi.
Pour répondre à cette obligation légale, un FAI a développé une application informatique permettant de rapprocher de manière automatisée les demandes relatives à l’identification des adresses IP qui lui sont soumises avec les adresses MAC des abonnés.
Toutefois, en raison d’un dysfonctionnement de cette application, un abonné a été identifié à tort de très nombreuses fois, a été mis en cause dans des enquêtes pénales et a fait l’objet de nombreuses perquisitions à son domicile et de plusieurs saisies de ses équipements informatiques.
Le dysfonctionnement résidait dans l’absence d’émission d’un message d’erreur lorsque l’application ne parvenait pas à associer une adresse IP à une personne, dans le renvoi par défaut vers un même abonné et par conséquent la transmission de données inexactes.
Suite à une enquête préliminaire diligentée par le parquet après le dépôt de plainte pour délit de contrefaçon de la Hadopi, le dysfonctionnement du système a été mis au jour entraînant alors une plainte de la Hadopi devant la Cnil à l’encontre du FAI à l’origine de cette erreur.
Les constats opérés ayant permis de confirmer l’existence d’un dysfonctionnement au sein de l’application informatique, la transmission de données inexactes et les conséquences pour l’abonné, la Cnil a décidé d’engager une procédure de sanction sur le fondement notamment du non-respect de l’article 6-4° de la loi Informatique et libertés, qui prévoit qu’un traitement de données à caractère personnel ne peut porter que sur des données exactes, complètes et mises à jour.
Si le FAI reconnait le dysfonctionnement intervenu, il conteste avoir manqué à son obligation légale dans la mesure où cette obligation serait de moyens et non de résultat. La Cnil réfute cette interprétation et précise que l’article 6-4° « consiste sans ambiguïté en une obligation de résultat ».
Par ailleurs, la formation restreinte de la Cnil reproche à la société concernée d’avoir laissé le dysfonctionnement perduré pendant près de deux ans et de ne l’avoir découvert qu’après l’insistance d’un service de police en charge d’une procédure pénale ouverte à l’encontre de l’abonné.
En conséquence, un avertissement public a été prononcé par la Cnil. Cet avertissement vient :
- sanctionner le manquement à l’obligation de veiller à l’exactitude des données à caractère personnel ayant conduit à l’identification erronée d’un abonné par la Hadopi et la mise en cause de ce dernier dans plusieurs enquêtes pénales ;
- rappeler aux fournisseurs d’accès à internet la nécessité de renforcer leur vigilance sur les données qu’ils transmettent et les conséquences préjudiciables sur leurs abonnés d’une transmission de données inexactes.
Lexing Alain Bensoussan Avocats
Lexing, Droit Informatique et libertés
(1) Cnil Délib. 2016-053 1-3-2016.
(2) CPCE, art. L.34-1.