Au Conseil d'État et à la CNIL, un coup de frein sur la collecte des adresses IP

Au Conseil d’État et à la CNIL, un coup de frein sur la collecte des adresses IP

Des pages schön ?

Avatar de l'auteur

Marc Rees

Publié dansDroit

22/04/2014
4
Au Conseil d'État et à la CNIL, un coup de frein sur la collecte des adresses IP

L’affaire Pages Jaunes jugée en mars dernier par le Conseil d’État a révélé les pratiques gourmandes de l’entreprise sur les informations de 25 millions de Français issues de leurs profils sur divers réseaux sociaux. Au-delà de la condamnation de cet aspirateur à données personnelles, l’arrêt contient cependant une disposition passée un peu inaperçue et relative aux obligations de collecte des adresses IP.

conseil d'état

 

D’abord, un rappel des faits. En 2010, les agents de la CNIL procèdent à des vérifications dans les locaux de l’entreprise Pages Jaunes pour sonder les traitements de données mis en œuvre. Le 21 septembre 2011, la CNIL prononce un avertissement à l’encontre de Pages Jaunes, avertissement rendu public.

 

Dans cet avis, la CNIL relate que « les profils communautaires de toutes les personnes portant le même nom patronymique que celui recherché sur le site Pages Jaunes apparaissent sur la page de résultats ». Outre les données classiques de l’annuaire (identité, coordonnées téléphoniques et adresse postale, plan, etc.) le visiteur pouvait scruter « les données concernant la personne, issues des réseaux sociaux : nom, prénom, photographie, pseudonymes, établissements scolaires, employeurs, profession, localisation, etc. ». Pages Jaunes permettait également un tri « à partir des données de l’employeur, de l’établissement scolaire et de la localisation des personnes. »

 

La société Pages Jaunes a demandé illico l'annulation de cette décision devant le Conseil d’État. C’est l’objet de l’arrêt rendu le 11 mars dernier. Elle conteste en particulier la moindre violation de la loi du 6 janvier 1978 qui encadre les traitements de données personnelles.

Collecte loyale et licite

Selon l’enquête de la CNIL, les données personnelles issues de Copains d'avant, Facebook, Twitter, Trombi, LinkedIn et Viadeo furent aspirées sur l'annuaire Pages Blanches, histoire d’enrichir ses pages. Problème, jamais Pages Jaunes n’a cru bon d'informer les 25 millions de personnes touchées. Le Conseil d’État jugera cette collecte et ce traitement déloyales et illicites.

 

Autre chose, le droit des données personnelles demande aussi que les données soient collectées « pour des finalités déterminées, explicites et légitimes ». On apprend ici que la société avait croisé les données à caractère personnel de l'annuaire universel avec celle du réseau Facebook, histoire d’exclure les non-résidents français. Or le Conseil d’État estime « qu’un tel traitement n'est pas compatible avec la finalité initiale de fourniture d'annuaires universels pour laquelle ces données avaient été collectées. »

Peu importe que les profils soient ouverts au net

Pour justifier son appétit, Pages Jaunes rétorquait que les profils sur les réseaux sociaux étaient ouverts, non limités. Cette caractéristique « constituerait même une manifestation claire et non équivoque de la volonté de la personne d’apparaître sur le web et d’être indexée par les moteurs de recherche afin d'augmenter sa visibilité sur Internet ». Mais la CNIL s’y est valablement opposée : « la circonstance que des profils personnels sont affichés publiquement sur Internet ne permet pas pour autant à un organisme tiers de procéder à une collecte massive répétitive et indifférenciée de ces données sans en avertir les personnes concernées.»

 

Autres bugs, la CNIL reprochait une violation de la loi de 1978 qui veut que ces données soient « exactes, complètes et, si nécessaire, mises à jour ». L’instruction a révélé que cette mise à jour « exigeait des délais allant de plusieurs mois à plus d'un an ». Ce qui est un peu long… De même, les personnes concernées n’étaient informées de leur droit de s’opposer à un tel traitement que si elles consultaient le service d’annuaire. La CNIL a constaté encore que la procédure était complexe et que les demandes imprécises ou incomplètes n’étaient pas traitées. Tout autant répréhensible, l'exercice du droit de rectification n'était pas garanti, « le responsable du traitement estimant qu'il en était exonéré du fait du caractère indirect de la collecte des données ». Toutes ces analyses ont été confirmées par la haute juridiction administrative.

La collecte des données de connexion

Surtout, cette affaire a montré que le groupe Pages Jaunes « collectait les adresses IP associées aux contenus, date et heure des requêtes effectuées sur son portail ». La société se justifiait par la nécessité « de répondre aux demandes d'information des autorités administratives et judiciaires ». Mais pour le Conseil d’État, on va ici bien trop loin : il y a une atteinte « aux droits fondamentaux des personnes » qui ne répond « à aucune obligation légale. »

 

Pour comprendre pourquoi, il faut revenir à la décision initiale de 2011. La CNIL rappelait que « la collecte et la conservation de l’adresse IP ne sont aujourd’hui requises que dans des cadres légaux strictement définis ». Lesquels ?

 

Le premier est celui fixé par l’article L. 34-1 du CPCE qui « impose aux opérateurs de communications électroniques de conserver les données relatives au trafic durant un an pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales » ou dans le cadre de la loi Hadopi. Le second, est la loi 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) qui « impose aux fournisseurs d'hébergement et aux fournisseurs d'accès à Internet de conserver les données de nature à permettre l'identification des personnes ayant contribué à la création de contenus mis en ligne (blogs, pages personnelles, annonces sur un site de vente aux enchères ...), aux fins de communication éventuelle aux autorités judiciaires ainsi qu'aux services en charge de la lutte contre le terrorisme. »

 

Problème : Pages Jaunes « n’est ni opérateur de communications électroniques, ni fournisseur d'hébergement ou fournisseur d'accès à internet. De ce fait, aucune obligation légale n’impose à la société de conserver les adresses IP associées aux contenus, date et heure des requêtes effectuées sur le portail pagesjaunes.fr. »

 

Cette décision confirmée par le Conseil d’État, impliquerait que l’ensemble des sites, hors opérateurs, hébergeurs et FAI, n’ont pas à enregistrer les visites des internautes. Une mesure qui devra être appréciée par tous les sites, notamment ceux du e-commerce.

Seuls les intermédiaires techniques doivent collecter

Contacté, l’avocat Ronan Hardouin, docteur en droit, nous livre son analyse : « De mon point de vue, seuls les intermédiaires techniques sont autorisés à collecter l'adresse IP des utilisateurs de leurs services. (…) [Or, les décisions de la CNIL et du CE] semblent considérer que la société Pages Jaunes n'est pas un prestataire technique et qu'elle n'a donc pas à collecter les adresses IP. Une telle collecte serait une entrave aux libertés individuelles ».

 

L’auteur d’une thèse sur la responsabilité des intermédiaires techniques sur Internet poursuit : « à mon sens, cette obligation imputable aux prestataires techniques est le corollaire de leur régime de responsabilité limitée. Je m'explique : (…) ce régime a vocation, ainsi que le rappellent les considérants de la directive e-commerce du 8 juin 2000, à encourager le développement de l'économie numérique et à ne pas effrayer ceux sans lesquelles la circulation des contenus sur Internet serait impossible. En contrepartie de ce régime favorable, le législateur fait des prestataires techniques des collaborateurs de justice (j'ose à peine dire des auxiliaires) tenant pour acquis qu'il sont les mieux placés pour lutter contre les contenus illicites et pour permettre l'identification des personnes ayant publié des contenus illicites ».

 

C’est pourquoi, d'après ce juriste, « seuls les prestataires techniques doivent collecter les adresses IP des utilisateurs de leurs services. L'entrave aux libertés individuelles est ici justifiée et proportionnée au regard du rôle octroyé par le législateur aux prestataires techniques. Dès lors, lorsqu'un prestataire de service sur Internet ne peut être qualifié de prestataire technique, il n'a aucun droit de réaliser une telle collecte ou, s'il le fait, il devra être en conformité avec la loi Informatique et Libertés, ce qui n'est pas le cas en l'espèce eu égard au caractère disproportionné du traitement. »

 

En creux, les opérateurs qui ne sont pas qualifiés de prestataires techniques ne peuvent collecter d’adresse IP, sauf à se mettre d’aplomb au regard de la loi Informatiques et Libertés.

Quid des moteurs de recherches ?

Est-ce que cette décision peut avoir un impact sur les moteurs de recherche ? « L'approche est quelque peu différente à mon sens » ajoute Ronan Hardouin. « En effet, si la jurisprudence n'a jamais qualifié expressément les moteurs de recherche de prestataires techniques à ma connaissance (sauf dans la décision Google c. SAIF où le moteur est qualifié de prestataire de cache), elle semble appliquer à ces prestataires le régime de responsabilité des hébergeurs (en ce sens voir : Cass. 12 juillet 2012, Aufeminin.com c. Google). En outre, [et] à mon avis, les moteurs de recherche sont susceptibles d'être qualifiés tant d'hébergeur que de fournisseur d'accès à un service de communication au public en ligne ou encore de prestataire de cache. »

 

Point cependant épineux, Pages Jaunes a été déclaré auprès de l’Arcep en tant qu’opérateur. Le groupe est chargé, par arrêté ministériel, de fournir une des composantes du service universel des communications électroniques (avec pour code opérateur PAJA). Et l’article L.39-3 CPCE sanctionne de 75 000 euros et 1 an d’emprisonnement le fait pour un opérateur déclaré le fait ne pas procéder à la conservation des données… Il faut peut-être en déduire que les qualifications retenues chez les uns ne valent pas toujours chez les autres. Questionnée, la CNIL n’est pas revenue vers nous...

4
Avatar de l'auteur

Écrit par Marc Rees

Tiens, en parlant de ça :

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

C’est comme CVSS 5.0 mais en moins bien

18:17 Sécu 1
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Géotechnopolitique

16:37 Web 19
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

Il faudrait déjà généraliser la fibre

16:03 HardWeb 20

Sommaire de l'article

Introduction

Collecte loyale et licite

Peu importe que les profils soient ouverts au net

La collecte des données de connexion

Seuls les intermédiaires techniques doivent collecter

Quid des moteurs de recherches ?

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 1
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 19
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 20
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 7
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 7

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 7
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardWeb 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IASociété 62

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA 33
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitWeb 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société 5
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitWeb 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Le poing Dev – round 6

Next 148

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 9
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Science 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hard 7

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

651e édition des LIDD : Liens Intelligents Du Dimanche

Web 30
Bannière de Flock avec des bomes sur un fond rouge

#Flock, le grand remplacement par les intelligences artificielles

Flock 34
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Next 65
Nuage (pour le cloud) avec de la foudre

Cloud : Google demande au régulateur britannique d’enquêter sur Microsoft

Droit 1

Ariane 6 sur son pas de tir

Ariane 6 : premier décollage à l’été 2024

Science 1

La Grande Mosquée se détache devant les toits des maisons de Jérusalem.

Conflit Israël-Hamas : 349 marques financent la désinformation via la publicité programmatique

Web 0

Logo de Nextcloud

Nextcloud rachète la solution open-source de webmail Roundcube

ÉcoWeb 1

Logo de Steam

Steam va abandonner le support de macOS 10.13 et 10.14

Soft 0

Commentaires (4)


Tatsu-Kan
Il y a 10 ans

ça n’empêche que le site 123people de pagesjaunes est caractéristique du site de fouille-merde.

Le seul moyen que j’ai trouvé pour faire retirer des images et photos me concernant a été d’invoquer une infraction au droit d’auteur sur les dites images, sinon, ils refusaient de supprimer la moindre information.
Et les images/photos en question n’étaient pas hébergés sur des sites ‘grand publique’ type facebook,copainsdavant.


JoePike
Il y a 10 ans


Il faut peut-être en déduire que les qualifications retenues chez les uns ne valent pas toujours chez les autres


ah bon ?
<img data-src=" />

ça me conforte dans le fait de n’être sur aucun réseau social !
je suis déja suffisament tracké comme ça


HCoverd
Il y a 10 ans






JoePike a écrit :

ah bon ?
<img data-src=" />

ça me conforte dans le fait de n’être sur aucun réseau social !
je suis déja suffisament tracké comme ça



+1 <img data-src=" />



Dyonisos84
Il y a 10 ans






Kanchelsis a écrit :

ça n’empêche que le site 123people de pagesjaunes est caractéristique du site de fouille-merde.

Le seul moyen que j’ai trouvé pour faire retirer des images et photos me concernant a été d’invoquer une infraction au droit d’auteur sur les dites images, sinon, ils refusaient de supprimer la moindre information.
Et les images/photos en question n’étaient pas hébergés sur des sites ‘grand publique’ type facebook,copainsdavant.



Si ça peut te rassure, le site 123people est fermé <img data-src=" />