L’intensité de l’atteinte à la vie privée justifie que soit rendue publique la mise en demeure prononcée par la Cnil.
Une mise en demeure rendue publique
Par délibération du 26 septembre 2016 (1), la Cnil a mis en demeure une société exploitant une application de potins et rumeurs anonymes dans un délai d’un mois de :
- ne pas mettre en œuvre de traitement de données à caractère personnel portant atteinte à la vie privée et aux libertés individuelles des personnes concernées dans le cadre du fonctionnement de l’application ;
- ne pas procéder sans base légale au traitement de données à caractère personnel dans le cadre du fonctionnement de l’application ;
- justifier auprès de la Cnil que l’ensemble des demandes a été respecté, et ce dans le délai imparti.
La Cnil retient deux manquements qui sont peu fréquemment retenus mais d’une particulière gravité, à savoir :
- un manquement à l’obligation de respecter la vie privée et les libertés individuelles des personnes concernées sur le fondement de l’article 1er de la loi Informatique et libertés (2) ;
- l’absence de base légale du traitement mis en œuvre.
Par ailleurs, la Cnil a dénoncé les constats opérés auprès du procureur de la République sur le fondement de l’article 40 du Code de procédure pénale compte tenu de la nature des manquements constatés mais également des risques pour les personnes concernées, notamment les mineurs.
Le manquement à l’article 1er de la loi Informatique et libertés
L’article 1er de la loi Informatique et libertés dispose :
- « L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques (…) » (2).
La loi pour une République numérique du 7 octobre 2016 (3) a modifié cet article 1 en y ajoutant l’alinéa suivant : « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi ».
Cet article est l’un des plus importants de la loi Informatique et libertés et se lit à la lumière de la Charte des droits fondamentaux de l’Union européenne.
La Cnil estime que la diffusion de rumeurs anonymes, sans information et sans limite dans l’espace ou dans le temps, constitue une atteinte à la vie privée et aux libertés individuelles. À cet égard, elle retient que la diffusion d’un potin s’effectue à l’insu de la personne directement concernée si elle-même n’est pas utilisatrice de l’application.
Le fait qu’une personne n’ayant pas installé l’application puisse faire l’objet de calomnies sans en être informée et sans réel moyen d’action vis-à-vis de l’émetteur comme des récepteurs de la rumeur a été l’élément essentiel pour caractériser le manquement au respect de la vie privée.
Le fait que le fonctionnement même de l’application heurte le droit des personnes de contrôler et de décider des usages qui sont faits de leurs données personnelles sonne comme une mise en garde et la consécration de la notion « d’empowerment » lorsque comme en l’espèce la dignité et l’intimité numériques sont sévèrement atteintes.
La liberté de papauter sur les réseaux sociaux doit s’exprimer qualitativement. Si les rumeurs ont toujours existé, il faut néanmoins être particulièrement attentif à l’effet quantitatif des rumeurs sur les réseaux sociaux. En l’espèce, la simple rumeur prend une ampleur démesurée en raison du fonctionnement de l’application. L’intensité de l’atteinte portée à la personne concernée est d’autant plus forte que cette dernière peut :
- ne pas avoir connaissance de la rumeur ;
- ne pas en connaître l’ampleur.
Ce double angle mort pour la personne concernée ne lui permet pas de mettre en œuvre les actions tant civiles que pénales propres à faire cesser les éventuelles atteintes à sa réputation.
L’absence de base légale du traitement
Sur l’absence de base légale du traitement, la Cnil retient que l’éditeur de l’application ne recueille pas le consentement préalable des personnes concernées en particulier celui des personnes visées par une rumeur mais n’ayant pas téléchargé l’application.
Par ailleurs, la Cnil considère que l’éditeur de l’application ne peut pas non plus se prévaloir des autres critères définis à l’article 7 de la loi Informatique et libertés (sauvegarde de la vie de la personne concernée, le respect d’une obligation légale incombant au responsable du traitement, par exemple).
Si la Cnil admet que la société poursuit un intérêt économique et commercial, elle refuse de considérer, en raison de la nature même de l’application, que celle-ci puisse bénéficier de la base légale de l’intérêt légitime visé à l’article 7 5° la loi Informatique et libertés.
À cet égard, l’analyse effectuée par la Commission ne reprend pas l’intégralité des critères précédemment dégagés en particulier dans sa décision Facebook (4) (5). La nature du service proposé aux utilisateurs en ce qu’il est susceptible de méconnaître l’intérêt des personnes, ainsi que leur droit fondamental au respect de leur vie privée est suffisant pour caractériser une atteinte trop importante. Cette atteinte exclut une balance d’intérêt équilibrée pouvant servir de base légale au traitement mis en œuvre.
Céline Avignon
Lexing Publicité et Marketing électronique
(1) Cnil, décision 2016-079 du 26-9-2016 mettant en demeure la société W.M.G.
(2) Loi 78-17 relative à l’informatique, aux fichiers et aux libertés, art. 1er.
(3) Loi 2016-1321 du 7-10-2016 pour une République numérique.
(4) Cnil, Décision 2016-007 du 26-1-2016 mettant en demeure les sociétés Facebook INC. et Facebook Ireland.
(5) Lire notre Post du 9-2-2016.