Collecte déloyale de données par les pages jaunes
Dans une délibération en date du 21 septembre 2011, la Commission Nationale de l’Informatique et des Libertés (« CNIL ») a prononcé un avertissement public à l’encontre de la société PAGES JAUNES pour avoir aspiré à l’insu des personnes concernées des données issues de leurs profils sur les réseaux sociaux.
En mars 2010, la société PAGES JAUNES (ancienne filiale annuaires de France Télécom) avait décidé d’enrichir son site www.pagesjaunes.fr/pagesblanches d’un service « webcrawl ». Ce service permettait d’aspirer les données personnelles figurant dans les profils d’internautes ayant un compte sur des réseaux sociaux (Facebook, Copains d’avant, Viadéo, Linkedin, Twitter et Trombi) et de les ajouter aux résultats classiques de l’annuaire en ligne. Au final, près de 34 millions de profils ont été aspirés par le service des pages jaunes, dont certains appartenant même à des mineurs ou à des personnes inscrites sur liste rouge. Après avoir reçu des plaintes de particuliers, la CNIL avait procédé à des contrôles en juin 2010. Dans l’attente d’une décision, la société avait cependant décidé de suspendre le service en mars 2011.
Les données en question incluaient non seulement les noms et prénoms des personnes concernées, mais aussi leurs pseudonymes, photographies, établissements scolaires, professions, employeurs ou encore locations géographiques.
Information préalable
La première difficulté a résidé dans le fait que ces personnes n’ont pas été informées au préalable que leurs données personnelles étaient susceptibles d’être aspirées et mises en ligne sur le site des pages jaunes.
La question se posait alors de savoir s’il appartenait à la société des pages jaunes ou aux réseaux sociaux d’informer les internautes de la possible utilisation de leurs profils à partir du moment où ils étaient publics. La société PAGES JAUNES soutenait que la collecte des données était tout à fait légale : puisque c’étaient les internautes qui choisissaient de livrer des informations personnelles sur les réseaux sociaux et qu’ils avaient toute la latitude pour en limiter l’accès, ils avaient quelque part accepté de voir leurs données publiées sur le net.
La CNIL n’a pas suivi la société dans son argumentaire. Ce n’est pas parce que ces informations sont publiques sur Internet qu’un tiers est autorisé à procéder à « une collecte massive, répétitive et indifférenciée de ces données sans en avertir les personnes concernées ».
Par ailleurs, la société invoquait une exception à cette règle tenant au fait que les personnes étaient déjà informées. En effet, les réseaux sociaux utilisent généralement une clause d’information générale sur l’utilisation des données par des moteurs de recherches. Cependant, et même si effectivement les conditions générales d’utilisation de certains réseaux sociaux précisent que les données personnelles des utilisateurs peuvent être indexées par des moteurs de recherche, la société pages jaunes ne saurait être considérée comme un moteur de recherche. En effet, son activité ne consiste pas à mettre en œuvre une application permettant de retrouver des ressources extérieures à celles enregistrées dans ses bases. C’est le cas de Google par exemple qui, en tant que moteur de recherche, peut agréger les données du Web et afficher les profils non protégés (sans d’ailleurs que les internautes en aient toujours conscience), mais pas celui des pages jaunes qui demeure un prestataire de service d’annuaire.
Il revenait donc à la société d’informer les internautes au préalable avant de récupérer leurs données pour les afficher sur son site.
Droit d’opposition
En outre, l’exercice du droit d’opposition était rendu très difficile. Certes, les personnes ne souhaitant pas apparaître sur le site pouvaient s’y opposer. Cependant, ils ne pouvaient le faire qu’a posteriori, en remplissant un formulaire compliqué (en indiquant notamment l’url du profil concerné) et en joignant avec une copie électronique de leur carte d’identité.
Ultime difficulté, il fallait remplir autant de formulaires qu’il y avait de profils à supprimer.
Non seulement l’exercice du droit d’opposition était rendu long et complexe, il pouvait en plus se solder par un échec faute d’avoir joint les pièces demandées.
Mise à jour des données
Surtout, la mise à jour des profils sur les réseaux sociaux n’était pas effective sur le site des PAGES JAUNES. Comme le souligne la CNIL, « la modification ou la suppression d’un profil sur le site d’un réseau social n’était pas immédiatement répercutée sur le site des pages blanches ».
Le fait que les profils n’étaient pas automatiquement actualisés est particulièrement problématique au regard du droit de rectification reconnu à la personne. Concrètement, cela veut dire que les personnes qui avaient pu supprimés leurs profils Facebook pouvaient voir encore des mois plus tard leurs photos publiées sur le site de l’annuaire des pages blanches. D’après la CNIL, 80% des profils Facebook n’avaient pas été actualisés alors pourtant qu’en pratique un profil Facebook est modifié plusieurs fois par jour. De même, pendant plus d’un an de mise en service, le site n’avait jamais actualisé le profil Twitter.
La CNIL a considéré que l’aspiration de données personnelles sur les sites de réseaux sociaux était donc déloyale et contraire à la Loi Informatique et Libertés. Les droits des personnes reconnus dans cette loi ont été violés à plusieurs égards.
En conséquence, elle a prononcé un avertissement public à l’encontre de la société PAGES JAUNES. Si l’on considère que près de 35 millions de personnes ont été concernées, parmi lesquelles des mineurs, l’attitude « répressive » de la CNIL apparaît timorée.
Cette affaire est l’occasion de révéler les progrès qui restent à faire, tant au niveau de la réactivité de la réponse à apporter en cas de violation de la Loi Informatique et Libertés que de leur caractère dissuasif.
En l’occurrence, le fonctionnement pendant une année entière de ce service en méconnaissance totale des droits reconnus aux personnes en ce qui concerne leurs données personnelles leur a été très préjudiciable. On imagine qu’une sanction immédiate et efficace aurait mieux été à même de préserver les droits des personnes concernées et surtout d’atténuer les conséquences dommageables de la fonctionnalité en cause.
En pratique, la sanction prononcée par la CNIL est insuffisante. Des mois après la fermeture du site, elle prononce un simple avertissement. Même si la société PAGES JAUNES a suspendu le service litigieux, il n’en demeure pas moins que celui-ci a continué de fonctionner pendant un an. Prétendument motivée par les circonstances propres de l’espèce, à savoir « la sensibilité du service offert » et « (le) nombre de personnes concernées par le service litigieux », il n’est pas certain que la réponse apportée par la CNIL soit à la hauteur de ses ambitions en matière de protection des données.
Autorité administrative très ancienne, elle ne disposait jusqu’à encore très récemment que du simple pouvoir de délivrer des avertissements aux contrevenants ou de les dénoncer au parquet. Pourtant, avec la réforme de 2004, elle s’est vu reconnaître un véritable pouvoir répressif et notamment celui d’infliger des sanctions pécuniaires à l’encontre des organismes ne respectant pas leurs obligations. La CNIL pouvait donc aller au-delà du simple avertissement.
En l’espèce, la société PAGES JAUNES a interrompu le service litigieux après seulement un an de fonctionnement et quelques mois avant la décision de la CNIL. C’est sans doute la raison de la mansuétude de la CNIL.