Le Conseil d’Etat vient de confirmer, par arrêt du 12 mars 2014, la condamnation de la formation restreinte de la Cnil à l’encontre de la société Pages Jaunes Groupe. Dans cette affaire, le Président de la Cnil, saisi de nombreuses plaintes, avait décidé d’une mission de contrôle auprès de la société Pages Jaunes Groupe, proposant, sur son site internet, un service d’annuaire téléphonique des particuliers, mais également d’agrégation de données.
A cet égard, il convient de rappeler que cette société proposait une fonctionnalité permettant d’ajouter aux résultats de recherche obtenus sur une personne déterminée des données à caractère personnel la concernant collectées sur les réseaux sociaux : les profils communautaires de toutes les personnes portant le même nom patronymique que celui recherché sur le site Pages Jaunes apparaissaient ainsi sur la page de résultats. Cette fonctionnalité permettait alors de faire figurer, à partir d’une recherche sur un nom patronymique, les données classiques de l’annuaire (identité et coordonnées) mais également une photographie, une vue aérienne et un plan d’accès du lieu d’habitation, ainsi que des données concernant la personne et issues des réseaux sociaux : photographie, pseudonymes, établissements scolaires, employeurs, profession, localisation, etc.
Des contrôles de la Cnil ont donc été opérés et, sur la base des constatations réalisées, le Président de la Cnil a désigné un rapporteur pour l’établissement d’un rapport en vue de l’éventuelle mise en œuvre d’une procédure de sanction à l’encontre de la société éditrice de l’annuaire.
Bien que la société mise en cause ait suspendu le service dit de webcrawl qu’elle proposait dans l’attente de la décision de la formation restreinte de la Cnil, cette dernière avait prononcé à l’égard de la société Pages Jaunes Groupe un avertissement public sur le fondement des manquements suivants aux dispositions de la loi Informatique et libertés :
- collecte déloyale de données et absence d’information des personnes quant à l’indexation de leurs profils sur les réseaux sociaux ;
- illicéité du filtrage des profils Facebook à des fins d’exclusion des non-résidents français et non-respect de la finalité initiale du service Pages Blanches ;
- non-respect de l’obligation de mise à jour des données ;
- non-respect des droits des personnes, notamment de leur droit d’opposition ;
- non-respect de l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données.
La société Pages Jaunes Groupe a alors saisi le Conseil d’Etat et demandé l’annulation de cette décision.
Le Conseil d’Etat rejette en premier lieu les moyens d’illégalité externe soulevés par le requérant faisant état d’une atteinte aux principes d’impartialité et de d’indépendance des tribunaux, ainsi qu’aux droits de la défense.
En second lieu, il examine les moyens d’illégalité interne :
- s’agissant de la collecte déloyale de données et de l’absence d’information des personnes, le Conseil d’Etat relève que l’information des personnes ne pouvait être considérée comme suffisante du fait de certaines politiques de confidentialité de réseaux sociaux mentionnant une possible indexation de leurs données par des moteurs de recherche et qu’« eu égard à l’intérêt qui s’attache au respect des libertés et droits fondamentaux des vingt-cinq millions de personnes touchées par le traitement litigieux, et notamment au respect de leur vie privée, la société Pages Jaunes Groupe n’est pas fondée à soutenir que l’information de ces personnes, dont elle avait les coordonnées, exigeait des efforts disproportionnés par rapport à l’intérêt de la démarche ». Il en déduit que les personnes concernée n’ont pas été collectées de manière loyale et licite ;
- pour ce qui concerne l’illicéité du filtrage des profils Facebook à des fins d’exclusion des non-résidents français et le non-respect de la finalité initiale du service Pages Blanches, le Conseil d’Etat confirme, après avoir rappelé la finalité poursuivi par cet annuaire, le raisonnement suivi par la formation restreinte de la Cnil et donc le manquement constaté ;
- s’agissant du non-respect de l’obligation de mise à jour des données, le Conseil d’Etat rappelle qu’il résulte de l’instruction que la mise à jour des données à caractère personnel pouvait nécessiter des délais allant jusqu’à plus d’un an et que le fait que la société Pages Jaunes Groupe avait fait état de son intention de réduire le délai entre deux mises à jour ne pouvait être regardé comme une mesure appropriée pour que les données collectées inexactes ou incomplètes soient effacées ou rectifiées ;
- pour ce qui concerne le non-respect des droits des personnes, le Conseil d’Etat confirme également le manquement constaté par la formation restreinte de la Cnil rappelant que les personnes dont les données étaient extraites de réseaux sociaux pour être agrégées dans le cadre du service d’annuaire n’étaient informées de leur droit d’opposition que si elles consultaient ce service, que leur droit d’opposition ne pouvait être exercé de manière effective compte tenu de la complexité de la procédure, que les demandes imprécises ou incomplètes n’étaient pas traitées et qu’en tout état de cause la société Pages Jaunes Groupe estimait qu’elle était exonérée de répondre à de telles demandes du fait du caractère indirect de la collecte des données à laquelle elle procédait ;
- enfin, s’agissant du non-respect de l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données, le Conseil d’Etat rappelle que la société Pages Jaunes Groupe collectait les adresses IP associées aux contenus, date et heure des requêtes effectuées sur son portail et que, cette collecte portant atteinte aux droits fondamentaux des personnes et ne répondant à aucune obligation légale, elle ne pouvait être regardée comme étant en relation directe avec l’objet même du traitement, ce dont il résultait un manquement au principe de proportionnalité.
Par conséquent, au terme de ce raisonnement, le Conseil d’Etat conclut que la société Pages Jaunes Groupe n’est pas fondée à demander l’annulation de l’avertissement qui a été prononcé à son encontre par la formation restreinte de la Cnil et confirme la légalité de la délibération en ce qu’elle avait décidé de rendre public l’avertissement.
Alain Bensoussan
Lexing Droit Informatique et libertés