Comment Meetic et Attractive World auraient pu éviter les sanctions de la CNIL
Les sites de rencontre Meetic et Attractive World ont été sanctionnés par la CNIL, fin décembre 2016, en raison du traitement des données sensibles de leurs utilisateurs sans recueil de leur consentement exprès. Quelles leçons retenir?
Je m'abonneSites de rencontre 0 - CNIL 1. La Commission nationale de l'informatique et des libertés a prononcé, fin décembre 2016, une sanction publique de 10 000 euros à l'encontre de la société Samadhi, propriétaire du site Attractive World et de 20 000 euros à l'encontre de Meetic SAS, en raison du traitement des données sensibles de leurs utilisateurs sans recueil de leur consentement exprès. Dès 2015, la présidente de la CNIL avait adopté des mises en demeure à l'encontre de ces deux sites leur enjoignant, notamment, de recueillir, dans les trois mois, le consentement explicite des personnes lors de la collecte des données intimes, telles que la vie sexuelle, les opinions religieuses ou les origines ethniques.
Le manquement: les nouveaux arrivants sur le site de rencontre devaient, en une seule fois, accepter les conditions générales d'utilisation, attester de leur majorité et consentir au traitement des données sensibles.
Données sensibles
Or, rappelle la CNIL dans sa sanction, "la loi impose que les internautes aient conscience de la protection attachée à ces données particulières dont le traitement est normalement interdit." Et la Commission de poursuivre: "La seule inscription au site de rencontre ne peut valoir accord exprès des personnes au traitement de telles données qui révèlent des éléments de leur intimité."
Quelle(s) solution(s) auraient dû mettre en place les sites de rencontre pour éviter les sanctions? Une case dédiée au consentement explicite, par exemple, afin que le consentement soit détaché de l'inscription sur le site Web. Si cette modification a été proposée par les sociétés concernées, elle est intervenue au-delà du délai imparti par les mises en demeure. La CNIL a également demandé au site Meetic de ne pas uniquement faire référence à l'orientation sexuelle comme "données sensibles". Autres obligations: "Ne traiter que des données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées", indique la CNIL. Ou encore : "Adopter des mesures visant à assurer la sécurité et la confidentialité des données."
Pour aller plus loin:
- Données personnelles, les consommateurs en plein paradoxe
- [Tribune] Du nouveau dans la gestion des données personnelles