Collecte déloyale de données – La Cour d’appel de Bordeaux vient de rappeler que la collecte déloyale de données peut donner lieu à des sanctions pénales. La Cnil est venu préciser le contexte et les détails de cette affaire dans plusieurs communiqués publiés sur son site internet (1).
Elle rappelle dans ces communiqués que ce dossier avait été initié par des plaintes et des témoignages de nombreuses personnes (parmi lesquelles des personnes dont les coordonnées étaient sur « liste rouge ») qui avaient vu leurs noms, prénoms et coordonnées publiés dans des annuaires en ligne, et qui considéraient que cette pratique constituait une collecte déloyale de données.
La Cnil précise d’ailleurs à cet égard que ces plaintes et témoignages avaient permis de mettre en lumière une collecte déloyale de données, les personnes concernées n’ayant jamais communiqué leurs coordonnées postales ou téléphoniques aux responsables de ces sites et n’ayant donc a fortiori pas autorisé leur mise en ligne.
Après avoir effectué de nombreuses démarches auprès des sites pour obtenir des précisions sur l’origine des coordonnées diffusées mais également en vue de faire cesser cette collecte déloyale de données et cette diffusion, en vain, la Cnil a saisi, comme l’y autorise l’article 11 2 e) de la loi Informatique et libertés (loi 78-17 du 6-1-1978), le procureur de la république de ces faits dont elle rappelle qu’ils peuvent avoir de graves conséquences (par exemple, diffusion publique de coordonnées d’une victime de violences conjugales inscrite en « liste rouge »).
Suite à cette saisine du Ministère public, l’OCLCTIC (office central de lutte contre la criminalité liée aux technologies de l’information et de la communication) avait été chargé d’effectuer les vérifications nécessaires à l’enquête, ce qui a permis d’identifier et de localiser le responsable des sites internet en cause ayant procédé à cette collecte déloyale de données.
En pratique, il est en effet apparu dans le cadre de l’enquête que les différents annuaires étaient édités par un même responsable qui avait développé un logiciel lui permettant de collecter les données à partir de diverses sources (le journal des associations, Google, l’annuaire universel, l’INSEE), de les mettre en forme et de les diffuser dans ses annuaires en ligne.
Le Tribunal correctionnel de Bordeaux avait considéré que cette pratique, consistant à recueillir les coordonnées des personnes sur les espaces publics d’internet à leur insu, constituait une collecte déloyale de données dans la mesure où ce procédé faisait obstacle au droit d’opposition de ces personnes. Le défendeur avait alors interjeté appel de cette décision.
La Cour d’appel de Bordeaux a toutefois confirmé le jugement de 1ère instance en condamnant le responsable des sites en cause à une peine d’amende délictuelle de 10.000 euros avec sursis aux motifs suivants :
– collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite ;
– traitement de données à caractère personnel malgré l’opposition légitime de la personne concernée ;
– abus de confiance ;
– traitement automatisé de données à caractère personnel dans déclaration préalable auprès de la Cnil ;
– divulgation illégale volontaire de données à caractère personnel nuisibles (vie privée, considération).
La Cour ordonne en outre la suppression de toutes les données personnelles des victimes déloyalement collectées et la publication de son arrêt, par extraits, par voie de diffusion internet sur le site de la Cnil, publication réalisée par la Cnil via un communiqué en date du 7 avril dernier.
Pour la Cnil, cette décision, qui met en lumière l’interdiction des pratiques de collecte déloyale de données, « traduit la nécessaire prise en compte des droits reconnus aux personnes concernées par la loi « Informatique et libertés » ».
En tout état de cause, cette décision doit être l’occasion pour les responsables de traitement d’effectuer un audit de leurs pratiques en la matière afin de s’assurer de la conformité de leurs procédés de collecte de données aux dispositions applicables en matière de protection des données à caractère personnel.
Alain Bensoussan
Lexing Droit Informatique et libertés
(1) Actualité Cnil, « Condamnation pour des annuaires en ligne illégaux » (article du 7-4-2014) et « Webinbox.info, frenchcity.info, eopin.info, habitant-ville.info : enquête pénale en cours » (article du 20-4-2012).