L’affaire Pages Jaunes jugée en mars dernier par le Conseil d’État a révélé les pratiques gourmandes de l’entreprise sur les informations de 25 millions de Français issues de leurs profils sur divers réseaux sociaux. Au-delà de la condamnation de cet aspirateur à données personnelles, l’arrêt contient cependant une disposition passée un peu inaperçue et relative aux obligations de collecte des adresses IP.
D’abord, un rappel des faits. En 2010, les agents de la CNIL procèdent à des vérifications dans les locaux de l’entreprise Pages Jaunes pour sonder les traitements de données mis en œuvre. Le 21 septembre 2011, la CNIL prononce un avertissement à l’encontre de Pages Jaunes, avertissement rendu public.
Dans cet avis, la CNIL relate que « les profils communautaires de toutes les personnes portant le même nom patronymique que celui recherché sur le site Pages Jaunes apparaissent sur la page de résultats ». Outre les données classiques de l’annuaire (identité, coordonnées téléphoniques et adresse postale, plan, etc.) le visiteur pouvait scruter « les données concernant la personne, issues des réseaux sociaux : nom, prénom, photographie, pseudonymes, établissements scolaires, employeurs, profession, localisation, etc. ». Pages Jaunes permettait également un tri « à partir des données de l’employeur, de l’établissement scolaire et de la localisation des personnes. »
La société Pages Jaunes a demandé illico l'annulation de cette décision devant le Conseil d’État. C’est l’objet de l’arrêt rendu le 11 mars dernier. Elle conteste en particulier la moindre violation de la loi du 6 janvier 1978 qui encadre les traitements de données personnelles.
Collecte loyale et licite
Selon l’enquête de la CNIL, les données personnelles issues de Copains d'avant, Facebook, Twitter, Trombi, LinkedIn et Viadeo furent aspirées sur l'annuaire Pages Blanches, histoire d’enrichir ses pages. Problème, jamais Pages Jaunes n’a cru bon d'informer les 25 millions de personnes touchées. Le Conseil d’État jugera cette collecte et ce traitement déloyales et illicites.
Autre chose, le droit des données personnelles demande aussi que les données soient collectées « pour des finalités déterminées, explicites et légitimes ». On apprend ici que la société avait croisé les données à caractère personnel de l'annuaire universel avec celle du réseau Facebook, histoire d’exclure les non-résidents français. Or le Conseil d’État estime « qu’un tel traitement n'est pas compatible avec la finalité initiale de fourniture d'annuaires universels pour laquelle ces données avaient été collectées. »
Source : Nextinpact.com
Informations complémentaires :
