L’Autorité Belge de protection des données vient d’imposer une amende de 50.000 euros à un réseau social de rencontre (le « réseau social » ou la « platforme de rencontre ») pour défaut de base légale opérations de traitement nécessaire à la mise en oeuvre de la fonction « inviter des contacts » proposée par la plateforme de rencontre.
Cette sanction, représentant 0,5% du CA mondial de l’entreprise, mérite d’être analysé avec attention dans la mesure où cette décision a été prise en concertation avec 23 autorités de protection des données de différents pays européens dans le cadre de mécanisme du guichet unique et concerne une fonctionnalité très commune utilisée par de nombreuses entreprises sur internet (ex : parrainage etc.).
1. Le contexte
L’entreprise sanctionnée propose une plateforme pour rencontrer de nouvelles personnes dans la sphère privée (ami ou relation); elle compte 4,5 millions d’utilisateurs actifs par mois dans le monde, dont 1,5 million dans l’UE.
Cette plate-forme propose à ses utilisateurs, notamment lors de leur inscription, une fonctionnalité leur permettant d’inviter leurs amis ou contacts.
Dans ce cadre, l’utilisateur a la possibilité d’importer un carnet d’adresses à partir de différents fournisseurs de services (Outlook, Google mail, Yahoo, Facebook, Telenet, Skynet). L’utilisateur n’est pas obligé de sélectionner un prestataire de services et peut ignorer la fonctionnalité « inviter un ami » dans son intégralité.
Si l’utilisateur souhaite inviter ses contacts, il est dirigé vers la page internet de son fournisseur (yahoo etc.) et s’il donne son accord, toutes les adresses qui se trouvent dans le carnet d’adresses sont alors transmises au réseau social.
Ensuite, l’internaute a la possibilité de sélectionner les destinataires auxquels il souhaite envoyer des e-mails d’invitation.
Jusqu’au 12 juillet 2019, toutes les adresses étaient pré-sélectionnées, avec le possibilité de désélectionner tous les destinataires en un clic. Depuis, les adresses ne sont plus pré-cochées et l’utilisateur peut soit sélectionner les destinataires ou tout cocher en un clic.
L’autorité Belge a demandé au réseau social sur quelles bases légales ces traitements d’enregistrements des données de contacts et d’envois d’emails d’invitation aux contacts (qu’ils soient utilisateurs ou non-utilisateurs du réseau social) étaient fondés.
2. Selon le réseau social, le consentement de l’utilisateur était suffisant pour télécharger les données de contacts et envoyer des invitations
Selon le réseau social, les coordonnées des contacts de l’utilisateur était traitées dans le seul but de rendre disponible la fonctionnalité «inviter un ami» et la base légale pour mettre en oeuvre les traitements nécessaires à l’utilisation de cette fonctionnalité est le consentement de l’utilisateur.
En effet, le réseau social estime qu’il n’est pas obligatoire d’obtenir le consentement des contacts notamment du fait que l’envoi de l’invitation par l’utilisateur ne serait pas un email de prospection commerciale soumis à la directive e-privacy 2002/58 mais une communication personnelle comme indiqué par le G29 (ancien Comité Euroepéen à la Protection des Données) dans une recommandation de 2009 sur les réseaux sociaux.
3. Les autorités rejettent l’argumentation du réseau social et distinguent les données de contacts déjà utilisateurs des non-utilisateurs
Les autorités considèrent que le consentement de l’utilisateur était insuffisant à la mise en oeuvre de la fonctionalité « inviter un ami » et précisent que ce consentement n’était, dans tous les cas, pas valide du fait que les contacts étaient pré-sélectionnés (c’est à l’utilisateur de cocher les cases et choisir les contacts).
Par ailleurs, elles font une distinction quant aux bases légales des traitements selon que les données sont celles de contacts utilisateurs ou des non-utilisateurs.
3.1 Concernant le traitement des données personnelles des contacts non-utilisateurs
3.1.1 Le consentement des contacts non-utilisateurs requis pour leur envoyer des invitations
Les autorités rappellent que seule la personne concernée dont les données personnelles sont traitées peut donner un consentement valide au traitement de ses données (à l’exception des cas des mineurs ou des personnes représentées).
L’envoi d’invitation à des utilisateurs non-membres est par ailleurs considéré comme de la prospection commerciale et soumis à la directive 2002/58/CE. L’argument de l’exception de communication personnelle est rejeté par les autorités dans la mesure où le G29 avait modifié sa position sur ce point en 2014 (voir ci-après).
Ainsi, le réseau social doit obtenir le consentement des contacts non-utlisateurs pour leur envoyer des invitations.
3.1.2. L’intérêt légitime comme base légale pour vérifier si les contacts sont des utilisateurs existants
L’Autorité relève que le réseau social aurait, toutefois, pu invoquer l’intérêt légitime pour collecter les données des contacts (non-utilisateurs), mais seulement afin d’identifier si ces contacts sont déjà utilisateurs du réseau social. Dans la négative, les données de contacts non-utilisateurs auraient dû être supprimées immédiatement (« comparer et oublier »)
L’autorité s’appuie à cet égard sur deux avis du G29.
Ainsi, l’avis 5/2009 du G29 sur les réseaux sociaux en ligne indique que les réseaux de médias sociaux n’ont pas d’autre base légale pour le traitement des données des non-utilisateurs que l’intérêt légitime.
De plus, les autorités précisent qu’il n’est pas possible d’invoquer cette base légale pour extraire les coordonnées des contacts des carnets d’adresses téléchargés pour la création ultérieure de profil sur le réseau sociaux ou encore pour informer la personne du fait que le réseau social a ses données et l’inviter à s’inscrire.
En effet, dans son avis n ° 06/2014 sur la notion d ‘ » intérêt légitime « , le G29 indique, dans un exemple, que les coordonnées des contacts non-utilisateurs ne peuvent être utilisées que pour vérifier s’ils sont déjà membres du site. Il s’agit d’une position plus restrictive que l’avis pré-cité qui permettait, comme le réseau social l’indiquait dans sa défense, d’envoyer des invitations, sous réserve de respecter certaines conditions, du fait qu’il s’agissait de communications personnelles).
Ainsi, le réseau social a un intérêt légitime à stocker des coordonnées des non-utilisateurs d’un site Web uniquement dans le cadre d’un traitement « comparer et oublier ».
3.2. Concernant le traitemnet des données personnelles des contacts déjà membre du réseau social
Selon les autorités, le consentement n’est pas nécessaire pour que les utilisateurs puissent envoyer des invitations aux autres utilisateurs du même réseau social.
En effet, ce type de traitement relève soit de l’intérêt légitime ou de l’exécution d’un contrat entre l’utilisateur et la plateforme.
Dans le cas, présent, il n’était pas possible de fonder le traitement sur l’intérêt légitime ou éventuellement l’exécution d’un contrat tant que la liste de contacts était pré-sélectionnée. En effet, au delà de rendre un éventuel consentement invalide, cette pratique d’envoi d’email en masse ne respecte pas le principe de minimisation des données (article 6 RGPD) et le concept de protection des données à la conception et par défaut. (article 25 RGPD)
En conclusion
Il n’est pas possible d’envoyer des invitations à des tiers non-utilisateurs d’un réseau social sans leur consentement préalable. Il n’est pas non plus possible de leur envoyer un email afin d’obtenir ce consentement ou de créer des profil en attendant qu’ils s’inscrivent. Ceci remet en question les systèmes de parrainage utiliser par beaucoup de sites internet.
Il est toutefois possible d’utiliser les données de ces contacts sur la base de l’intérêt légitime du réseau social pour vérifier si les contacts de l’utilisateur sont des membres existants du réseau social sous réserve de l’effacement des données immédiat suite à cette vérification.
L’envoi d’invitations aux membre du réseau social peut se fonder sur L’intérêt légitime ou l’exécution d’un contrat (le consentement de ces personnes n’est pas nécessaire).
Dans la mesure où 23 autorités ont participé à la rédaction de cette sanction, il semble opportun que les responsables de traitement revoient leur pratique concernant les parrainage ou tout autre système d’invitation similaire et trouve de nouveaux mécanismes soit pour obtenir le consentement des tiers (ce qui semble très difficile à obtenir) soit pour que les invitations soient envoyés sans intervention de sa part.
