La CNIL vient de publier un arrêt rendu en décembre 2013 par la cour d’appel de Bordeaux. Le dénommé Laurent R., responsable de plusieurs annuaires en ligne, a écopé de 10 000 euros d’amende avec sursis pour avoir violé plusieurs dispositions de la loi « Informatique et libertés« .
Les origines de l’affaire remontent à 2011. La CNIL avait reçu quelque 150 plaintes « et de très nombreux appels » concernant plusieurs sites Internet dont Webinbox, Habitant-ville, Eopin.info, I décideur et Frenchcity. Gérés par la même personne, ces annuaires regroupaient, pour chaque ville, les noms et coordonnées des habitants, « y compris des numéros de téléphone sur liste rouge ».
Tous ces éléments étaient mis en forme par un logiciel qui les collectait à partir d’autres sources : le Journal des associations, le moteur de recherche Google, l’annuaire universel, les registres de l’INSEE, etc. Autant de données personnelles publiées sans le consentement des intéressés… et sans distinction : des informations sensibles sur des victimes de violences conjugales, des travailleurs sous mandat judiciaire, des fonctionnaires de police ou encore des avocats étaient accessibles à tout internaute.
Après « de nombreuses démarches » infructueuses, la CNIL a saisi le Procureur de la République. L’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) a été chargé de l’affaire. Transmis à la police judiciaire de Bordeaux, le dossier a abouti à la condamnation de Laurent R. le 26 novembre 2012. Une sanction confirmée en appel le 18 décembre dernier (document PDF, 1 page), avec comme principal grief l’obstacle fait au droit d’opposition des individus en récueillant leurs coordonnées sur des espaces publics à leur insu.
Parmi les autres motifs de condamnation, la « collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite », le « traitement de données à caractère personnel malgré l’opposition légitime de la personne concernée », « l’abus de confiance », le « traitement automatisé de données à caractère personnel sans déclaration préalable auprès de la CNIL » et la « divulgation illégale volontaire de données à caractère personnel nuisibles (vie privée) ».
Les magistrats ont ordonné la suppression de toutes les données personnelles des victimes déloyalement collectées et la publication de l’arrêt par extrait sur le site de la CNIL.
—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…