Le 27 juin 2001, le Grand maître de la Grande loge de France a saisi la CNIL à propos de la diffusion de ces données personnelles sur Internet. La loi du 6 janvier 1978 assimile en effet à une donnée sensible "l’appartenance réelle ou supposée à une association à caractère politique, philosophique, religieux ou syndical". Or, une donnée sensible ne peut être collectée, traitée ou divulguée sans le consentement exprès des personnes.
La CNIL, dans un communiqué diffusé le 18 juillet 2001, a indiqué qu’"on ne saurait révéler sans le consentement exprès d’une personne qu’elle est adhérente ou sympathisante d’un parti politique ou d’une association, ni diffuser sur internet des listes de personnes à raison de leur religion, pas davantage que des listes de francs-maçons ou de syndicalistes".
Or, à la suite de la saisine de la Grande loge de France, la CNIL a eu l’occasion de constater que ces listes nominatives ont été irrégulièrement diffusées au moins depuis le 23 juin 2001 et jusqu’au 27 juin, date à laquelle l’hébergeur, Chez.com, a pris toutes les mesures pour faire cesser cette diffusion. Malgré cette fermeture, la CNIL a estimé qu’il s’agissait d’une atteinte manifeste à la vie privée et à la liberté d’association en raison, notamment, des possibilités de duplication sans limite ou de capture d’une information diffusée sur Internet. Elle a, en conséquence, saisi le procureur de la République de Paris en application des articles 40 du Code de procédure pénale et 21 de la loi du 6 janvier 1978.
Dans le cadre de cette saisine, l’autorité de contrôle s’est fait communiquer, cinq jours après le dépôt de la plainte, les données de connexion permettant d’identifier nominativement le créateur du site en question. Pour obtenir communication des ces données, la CNIL s’est fondée sur son pouvoir de "procéder, à l’égard de tout traitement à des vérifications sur place et de se faire communiquer tous renseignements et documents utiles à sa mission". La loi du 6 janvier 1978 précise également que "les dirigeants d’entreprises ne peuvent s’opposer à l’action de la Commission ou de ses membres pour quelque motif que ce soit et doivent au contraire prendre toutes mesure utiles afin de faciliter sa tâche".
La CNIL relève à propos de la conservation des données d’identification que " la loi du 1er août 2000 fait obligation à tout créateur de contenu de s’identifier auprès de son hébergeur et aux prestataires techniques de conserver les données techniques propres à identifier les responsables de contenu pendant une durée devant être fixée par décret en Conseil d’Etat pris après avis de la CNIL". Le projet de loi sur la société de l’information, déposé récemment sur le bureau du président de l’Assemblée nationale, propose d’imposer un délai maximal d’une année aux fournisseurs d’accès pour conserver les données de connexion. Pour sa part, la CNIL avait estimé que la durée ne devait pas excéder trois mois. La présente affaire montre parfaitement qu’un délai plus court peut également être envisagé, vu le délai de 5 jours nécessaire pour obtenir la communication des informations demandées.
Enfin, la CNIL a souhaité préciser qu’"aucune donnée d’identification des internautes ayant pu se connecter au site litigieux n’a été sollicitée par la CNIL dans le souci de respecter le secret de la navigation des internautes". Une toute autre mesure aurait pu paraître, en l’espèce, disproportionnée.
A ce jour, les craintes de la CNIL de duplication sans limite des données disponibles sur le site se sont confirmées. Après la fermeture du site français, les pages ont été à nouveau disponibles sur un serveur situé en Belgique avant de faire l’objet d’une nouvelle suppression.
Benoit Tabaka