Après une mise en demeure adressée par la CNIL à la société GEB ADOPT A GUY le 24 juin 2015, la société qui exploite le site ADOPTE UN MEC et l’application du même nom s’est mise en conformité, de sorte que la procédure a été clôturée par la CNIL (décision du 14 juin 2017)[1].
Par décision n°2015-050 du 24 juin 2015[2], la CNIL avait en effet mis en demeure la société GEB ADOPT A GUY de se conformer aux dispositions de la Loi informatique et libertés.
Elle avait en effet constaté plusieurs manquements :
- Un manquement à l’obligation d’accomplir les formalités préalables à la mise en œuvre d’un traitement : dans le cadre de la lutte contre la fraude, la société se permettait d’exclure certains utilisateurs du bénéfice des services de l’application, mais n’avait procédé à aucune demande d’autorisation pour agir ainsi, ce qui constituait une violation de l’article 25, I, 4° de la Loi informatique et libertés ;
- Un manquement à l’obligation de recueillir le consentement de la personne concernée pour le traitement de données sensibles relatives aux origines ethniques ou raciales et à la vie sexuelle des personnes : la CNIL avait constaté qu’aucune mention ne permettait à l’utilisateur de donner un consentement éclairé à la collecte de telles données ;
- Un manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données ;
- Un manquement à l’obligation d’informer les personnes ;
- Un manquement à l’obligation de définir et de respecter une durée de conservation des données nécessaire à la finalité du traitement ;
- Un manquement à l’obligation d’informer et d’obtenir l’accord préalable des personnes concernées par le traitement avant de déposer des cookies sur leur équipement ;
- Un manquement à l’obligation d’accomplir les formalités préalables au transfert de données personnelles hors de l’Union Européenne (Maroc) : le transfert des données relatives à la vie personnelle, à la vie professionnelle ainsi que des données sensibles était opéré sans autorisation ;
- Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données personnelles ;
- Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données gérées par un sous-traitant : les contrats conclus avec les sous-traitants qui avaient en charge l’hébergement des données ne prévoyaient pas de clauses relatives aux obligations de ceux-ci en matière de sécurité des données.
Le site adopteunmec.com ayant déféré à toutes les demandes de la CNIL, aucune sanction financière n’a été prononcée.
Charlotte GALICHET
Cécile KOCZAN
[1]https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000034922812&fastReqId=1555591817&fastPos=1
[2] https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000030957398