Au Conseil d’État et à la CNIL, un coup de frein sur la collecte des adresses IP

L’affaire Pages Jaunes jugée en mars dernier par le Conseil d’État a révélé les pratiques gourmandes de l’entreprise sur les informations de 25 millions de Français issues de leurs profils sur divers réseaux sociaux. Au-delà de la condamnation de cet aspirateur à données personnelles, l’arrêt contient cependant une disposition passée un peu inaperçue et relative aux obligations de collecte des adresses IP.

D’abord, un rappel des faits. En 2010, les agents de la CNIL procèdent à des vérifications dans les locaux de l’entreprise Pages Jaunes pour sonder les traitements de données mis en œuvre. Le 21 septembre 2011, la CNIL prononce un avertissement à l’encontre de Pages Jaunes, avertissement rendu public.

Dans cet avis, la CNIL relate que « les profils communautaires de toutes les personnes portant le même nom patronymique que celui recherché sur le site Pages Jaunes apparaissent sur la page de résultats ». Outre les données classiques de l’annuaire (identité, coordonnées téléphoniques et adresse postale, plan, etc.) le visiteur pouvait scruter « les données concernant la personne, issues des réseaux sociaux : nom, prénom, photographie, pseudonymes, établissements scolaires, employeurs, profession, localisation, etc. ». Pages Jaunes permettait également un tri « à partir des données de l’employeur, de l’établissement scolaire et de la localisation des personnes. »

La société Pages Jaunes a demandé illico l'annulation de cette décision devant le Conseil d’État. C’est l’objet de l’arrêt rendu le 11 mars dernier. Elle conteste en particulier la moindre violation de la loi du 6 janvier 1978 qui encadre les traitements de données personnelles.

Collecte loyale et licite

Selon l’enquête de la CNIL, les données personnelles issues de Copains d'avant, Facebook, Twitter, Trombi, LinkedIn et Viadeo furent aspirées sur l'annuaire Pages Blanches, histoire d’enrichir ses pages. Problème, jamais Pages Jaunes n’a cru bon d'informer les 25 millions de personnes touchées. Le Conseil d’État jugera cette collecte et ce traitement déloyales et illicites.

Autre chose, le droit des données personnelles demande aussi que les données soient collectées « pour des finalités déterminées, explicites et légitimes ». On apprend ici que la société avait croisé les données à caractère personnel de l'annuaire universel avec celle du réseau Facebook, histoire d’exclure les non-résidents français. Or le Conseil d’État estime « qu’un tel traitement n'est pas compatible avec la finalité initiale de fourniture d'annuaires universels pour laquelle ces données avaient été collectées. »

Peu importe que les profils soient ouverts au net

Pour justifier son appétit, Pages Jaunes rétorquait que les profils sur les réseaux sociaux étaient ouverts, non limités. Cette caractéristique « constituerait même une manifestation claire et non équivoque de la volonté de la personne d’apparaître sur le web et d’être indexée par les moteurs de recherche afin d'augmenter sa visibilité sur Internet ». Mais la CNIL s’y est valablement opposée : « la circonstance que des profils personnels sont affichés publiquement sur Internet ne permet pas pour autant à un organisme tiers de procéder à une collecte massive répétitive et indifférenciée de ces données sans en avertir les personnes concernées.»

Autres bugs, la CNIL reprochait une violation de la loi de 1978 qui veut que ces données soient « exactes, complètes et, si nécessaire, mises à jour ». L’instruction a révélé que cette mise à jour « exigeait des délais allant de plusieurs mois à plus d'un an ». Ce qui est un peu long… De même, les personnes concernées n’étaient informées de leur droit de s’opposer à un tel traitement que si elles consultaient le service d’annuaire. La CNIL a constaté encore que la procédure était complexe et que les demandes imprécises ou incomplètes n’étaient pas traitées. Tout autant répréhensible, l'exercice du droit de rectification n'était pas garanti, « le responsable du traitement estimant qu'il en était exonéré du fait du caractère indirect de la collecte des données ». Toutes ces analyses ont été confirmées par la haute juridiction administrative.

La collecte des données de connexion

Surtout, cette affaire a montré que le groupe Pages Jaunes « collectait les adresses IP associées aux contenus, date et heure des requêtes effectuées sur son portail ». La société se justifiait par la nécessité « de répondre aux demandes d'information des autorités administratives et judiciaires ». Mais pour le Conseil d’État, on va ici bien trop loin : il y a une atteinte « aux droits fondamentaux des personnes » qui ne répond « à aucune obligation légale. »

Pour comprendre pourquoi, il faut revenir à la décision initiale de 2011. La CNIL rappelait que « la collecte et la conservation de l’adresse IP ne sont aujourd’hui requises que dans des cadres légaux strictement définis ». Lesquels ?

Le premier est celui fixé par l’article L. 34-1 du CPCE qui « impose aux opérateurs de communications électroniques de conserver les données relatives au trafic durant un an pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales » ou dans le cadre de la loi Hadopi. Le second, est la loi 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) qui « impose aux fournisseurs d'hébergement et aux fournisseurs d'accès à Internet de conserver les données de nature à permettre l'identification des personnes ayant contribué à la création de contenus mis en ligne (blogs, pages personnelles, annonces sur un site de vente aux enchères ...), aux fins de communication éventuelle aux autorités judiciaires ainsi qu'aux services en charge de la lutte contre le terrorisme. »

Problème : Pages Jaunes « n’est ni opérateur de communications électroniques, ni fournisseur d'hébergement ou fournisseur d'accès à internet. De ce fait, aucune obligation légale n’impose à la société de conserver les adresses IP associées aux contenus, date et heure des requêtes effectuées sur le portail pagesjaunes.fr. »

Cette décision confirmée par le Conseil d’État, impliquerait que l’ensemble des sites, hors opérateurs, hébergeurs et FAI, n’ont pas à enregistrer les visites des internautes. Une mesure qui devra être appréciée par tous les sites, notamment ceux du e-commerce.

Seuls les intermédiaires techniques doivent collecter

Contacté, l’avocat Ronan Hardouin, docteur en droit, nous livre son analyse : « De mon point de vue, seuls les intermédiaires techniques sont autorisés à collecter l'adresse IP des utilisateurs de leurs services. (…) [Or, les décisions de la CNIL et du CE] semblent considérer que la société Pages Jaunes n'est pas un prestataire technique et qu'elle n'a donc pas à collecter les adresses IP. Une telle collecte serait une entrave aux libertés individuelles ».

L’auteur d’une thèse sur la responsabilité des intermédiaires techniques sur Internet poursuit : « à mon sens, cette obligation imputable aux prestataires techniques est le corollaire de leur régime de responsabilité limitée. Je m'explique : (…) ce régime a vocation, ainsi que le rappellent les considérants de la directive e-commerce du 8 juin 2000, à encourager le développement de l'économie numérique et à ne pas effrayer ceux sans lesquelles la circulation des contenus sur Internet serait impossible. En contrepartie de ce régime favorable, le législateur fait des prestataires techniques des collaborateurs de justice (j'ose à peine dire des auxiliaires) tenant pour acquis qu'il sont les mieux placés pour lutter contre les contenus illicites et pour permettre l'identification des personnes ayant publié des contenus illicites ».

C’est pourquoi, d'après ce juriste, « seuls les prestataires techniques doivent collecter les adresses IP des utilisateurs de leurs services. L'entrave aux libertés individuelles est ici justifiée et proportionnée au regard du rôle octroyé par le législateur aux prestataires techniques. Dès lors, lorsqu'un prestataire de service sur Internet ne peut être qualifié de prestataire technique, il n'a aucun droit de réaliser une telle collecte ou, s'il le fait, il devra être en conformité avec la loi Informatique et Libertés, ce qui n'est pas le cas en l'espèce eu égard au caractère disproportionné du traitement. »

En creux, les opérateurs qui ne sont pas qualifiés de prestataires techniques ne peuvent collecter d’adresse IP, sauf à se mettre d’aplomb au regard de la loi Informatiques et Libertés.

Quid des moteurs de recherches ?

Est-ce que cette décision peut avoir un impact sur les moteurs de recherche ? « L'approche est quelque peu différente à mon sens » ajoute Ronan Hardouin. « En effet, si la jurisprudence n'a jamais qualifié expressément les moteurs de recherche de prestataires techniques à ma connaissance (sauf dans la décision Google c. SAIF où le moteur est qualifié de prestataire de cache), elle semble appliquer à ces prestataires le régime de responsabilité des hébergeurs (en ce sens voir : Cass. 12 juillet 2012, Aufeminin.com c. Google). En outre, [et] à mon avis, les moteurs de recherche sont susceptibles d'être qualifiés tant d'hébergeur que de fournisseur d'accès à un service de communication au public en ligne ou encore de prestataire de cache. »

Point cependant épineux, Pages Jaunes a été déclaré auprès de l’Arcep en tant qu’opérateur. Le groupe est chargé, par arrêté ministériel, de fournir une des composantes du service universel des communications électroniques (avec pour code opérateur PAJA). Et l’article L.39-3 CPCE sanctionne de 75 000 euros et 1 an d’emprisonnement le fait pour un opérateur déclaré le fait ne pas procéder à la conservation des données… Il faut peut-être en déduire que les qualifications retenues chez les uns ne valent pas toujours chez les autres. Questionnée, la CNIL n’est pas revenue vers nous...