La société COSMOSPACE (ci-après, “ la société “) est une société par actions simplifiée proposant des services à distance d’art divinatoire (tarot, horoscope, voyance), gratuits ou payants. Au 30 novembre 2021, elle employait 154 salariés.

La société propose, à titre principal, des consultations de voyance personnalisées par téléphone assurées par des téléconseillers voyants salariés ou indépendants.

Par ailleurs, la société édite plusieurs sites web, parmi lesquels le site cosmospace.medium.fr, ainsi que plusieurs applications mobiles. Ces sites et applications proposent, outre les prestations de voyance par téléphone, des services de voyance par conversation instantanée (“ chat “) ou par SMS, lesquels sont assurés par son partenaire, la société TELEMAQUE.

Extrait des considérants :

3) Sur le manquement à l’obligation de recueillir le consentement préalable des personnes concernées à la collecte de catégories particulières de données en application de l’article 9 du RGPD

91. En vertu de l’article 9, paragraphe 1 du RGPD, “ le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits “, sauf si ces traitements relèvent de l’une des conditions prévues au paragraphe 2, a) à j) du même article.

92. Parmi ces conditions, il est notamment prévu que le traitement puisse avoir lieu “ si la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée “ (article 9, paragraphe 2, a)). (…)

97. Premièrement, la formation restreinte relève que la société procède bien au traitement de catégories particulières de données (dites données sensibles), au sens de l’article 9 du RGPD.

98. D’une part, elle note qu’il ressort du contrôle en ligne réalisé le 15 novembre 2021 à partir du site cosmospace.medium.fr qu’après création d’un compte utilisateur (nécessitant de renseigner, a minima, une adresse de courrier électronique, un prénom, un nom, un sexe et une date de naissance), la délégation a pu accéder à un formulaire destiné à délivrer aux utilisateurs du site une prédiction gratuite sur leur compatibilité amoureuse avec une personne de leur choix. Doivent être renseignés sur ledit formulaire le prénom, la date de naissance ainsi que le sexe de l’utilisateur, mais également le prénom, la date de naissance et le sexe de son/sa partenaire.

99. La formation restreinte relève tout d’abord que ces informations, en ce qu’elles se rapportent à une personne physique identifiée ou identifiable – notamment grâce à la fourniture de l’identité complète de l’utilisateur et de son adresse de courrier électronique lors de l’inscription sur le site, étant rappelé que les constatations ont été réalisées alors que la délégation était connectée à son compte utilisateur –, constituent des “ données à caractère personnel “ au sens de l’article 4, paragraphe 1 du RGPD.

100. La formation restreinte rappelle ensuite que, dans un arrêt du 1er août 2022, la Cour de justice de l’Union européenne (ci-après, “ la CJUE “) a considéré que, même si les données en cause ne constituent pas, par nature, des données sensibles, elles doivent être considérées comme telles dès lors qu’elles sont susceptibles de dévoiler, de manière indirecte, l’orientation sexuelle de la personne concernée (CJUE, Grande Chambre, 1er août 2022, Vyriausioji tarnybinės etikos komisija, n° C184-20).

101. En l’espèce, le fait que la société collecte à la fois le sexe de la personne concernée et celui de son/sa partenaire, dans un contexte de compatibilité amoureuse, permet d’en déduire l’orientation sexuelle de cette personne. Dès lors, les données recueillies doivent être qualifiées de données sensibles, au sens de l’article 9 du RGPD.

102. D’autre part, la formation restreinte note qu’il ressort des enregistrements transmis à la délégation de contrôle que, lors des consultations par téléphone, les clients peuvent communiquer aux voyants certaines données sensibles, telles que des données révélant leurs convictions religieuses, des données concernant leur santé ou encore leur vie sexuelle ou orientation sexuelle. Quand bien même la société indique ne pas utiliser ces données pour une finalité spécifique, il apparait que celles-ci font bien l’objet d’un traitement, dans la mesure où elles sont collectées (via l’enregistrement des conversations téléphoniques), conservées (pour une durée plus ou moins longue, la moitié des enregistrements étant supprimée à la fin de la journée, l’autre moitié étant conservée six mois), susceptibles d’être consultées (par exemple, en cas de contestation) et in fine supprimées. Différentes opérations de traitement visées à l’article 4, paragraphe 2 du RGPD sont ainsi effectuées en lien avec ces données.

103. Deuxièmement, la formation restreinte considère que le traitement de données sensibles recueillies à l’occasion de consultations de voyance ne peut intervenir que sur la base du consentement explicite des personnes concernées au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, en application de l’article 9, paragraphe 2, a), du RGPD, aucune des autres conditions prévues au titre de l’article 9-2-b) à j) du RGPD n’étant mobilisable au cas d’espèce (CNIL, FR, Sanction, 8 juin 2023, SAN-2023-008, publié).

104. En effet, contrairement à ce qu’indique la société en défense, la formation restreinte relève qu’elle ne peut soutenir que le traitement mis en œuvre porterait “ sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée “ (article 9, paragraphe 2, e) du RGPD). S’agissant de cette exception, les lignes directrices 8/2020 sur le ciblage des utilisateurs de médias sociaux adoptées le 13 avril 2021 par le Comité européen de la protection des données (ci-après, “ le CEPD “) rappellent qu’elle implique que “ les responsables de traitement puissent démontrer que la personne concernée a clairement manifesté son intention de les rendre publiques “, ce qui n’est pas le cas d’une conversation privée intervenant entre un voyant et un client.

105. S’agissant du consentement requis en application de l’article 9, paragraphe 2, a), du RGPD, la formation restreinte rappelle que le caractère explicite du consentement s’analyse au cas par cas et dépend du contexte du traitement des données sensibles. Lorsque le service demandé par l’utilisateur implique nécessairement le traitement de données sensibles, il est cependant nécessaire que l’utilisateur ait pleinement conscience de ce que ses données sensibles seront traitées et parfois conservées par le responsable de traitement, ce qui implique en principe une information explicite sur ce point lors du recueil du consentement.

106. La formation restreinte rappelle que selon l’article 4, alinéa 11, du RGPD, la notion de consentement s’entend comme toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

107. D’une part, la formation restreinte considère que le caractère explicite du consentement prévu à l’article 9, paragraphe 2, a) du RGPD suppose de permettre à la personne concernée de manifester, par une action positive, son assentiment au traitement de données sensibles, attestant de la matérialité de son consentement.

108. À titre d’éclairage, la formation restreinte rappelle que dans ses lignes directrices sur le consentement au sens du règlement 2016/679 du 10 avril 2018, le CEPD indique que “ le RGPD stipule qu’une “ déclaration ou un acte positif clair “ est une condition sine qua non d’un consentement “ standard “. Dès lors que les exigences pour un consentement “ standard “ dans le RGPD sont déjà portées à un niveau supérieur à celles de la directive 95/46/CE, il convient de préciser quels efforts complémentaires un responsable du traitement devrait entreprendre afin d’obtenir le consentement explicite d’une personne concernée conformément au RGPD. Le terme explicite se rapporte à la façon dont le consentement est exprimé par la personne concernée. Il implique que la personne concernée doit formuler une déclaration de consentement exprès. Une manière évidente de s’assurer que le consentement est explicite serait de confirmer expressément le consentement dans une déclaration écrite. Le cas échéant, le responsable du traitement pourrait s’assurer que la déclaration écrite est signée par la personne concernée afin de prévenir tout doute potentiel et toute absence potentielle de preuve à l’avenir. Une telle déclaration signée n’est toutefois pas la seule façon d’obtenir le consentement explicite […] “ (lignes directrices 2016/679 WP259 rev.01 du 10 avril 2018, page 21).

109. La formation restreinte souligne qu’elle a, à plusieurs reprises, adopté des mesures correctrices à l’encontre de responsables de traitement ne recueillant pas le consentement explicite des personnes pour collecter et traiter leurs données “ sensibles “, notamment dans ses délibérations n° 2016-405 du 15 décembre 2016 et n° 2016-406 du 15 décembre 2016 ainsi que dans sa délibération n° SAN-2017-006 du 27 avril 2017 dans laquelle elle a considéré que “ le renseignement spontané de telles données n’exonère pas la société de l’obligation de recueillir le consentement exprès des personnes qui doivent être en mesure de manifester par une action positive leur assentiment au traitement de données sensibles, attestant ainsi que le consentement est donné en toute connaissance de cause “.

110. La formation restreinte relève donc, comme elle l’a déjà fait récemment à l’égard d’un autre organisme délivrant des prestations de voyance, que la simple volonté de recevoir ce type de prestation et le fait de livrer spontanément des informations sensibles ne constituent pas un consentement explicite des personnes concernées au traitement de leurs données, et que le responsable de traitement doit mettre à la disposition des personnes auprès desquelles il collecte des catégories particulières de données un moyen permettant de s’assurer qu’elles y consentent de manière explicite par un acte positif clair (CNIL, FR, 8 juin 2023, Sanction, SAN-2023-008, publié).

111. D’autre part, la formation restreinte rappelle que le consentement recueilli au titre de l’article 9, paragraphe 2, a) précité, du RGPD doit se lire à la lumière de la définition posée à l’article 4, paragraphe 11 précité du RGPD, ce qui implique que, pour consentir valablement, la personne concernée soit, au préalable, pleinement éclairée sur le caractère particulier des données qu’elle communique, notamment en ce que celles-ci peuvent révéler son état de santé et son orientation sexuelle, ainsi que sur l’usage qui sera fait de ces données.

112. En l’espèce, la formation restreinte note que la société ne délivre aucune information spécifique aux personnes concernées s’agissant de la collecte et du traitement des données recueillies à partir du formulaire figurant sur le site cosmospace.medium.fr et ne recueille pas leur consentement de manière explicite pour le traitement de ces données.

113. De la même manière, dans le cadre des consultations par téléphone, ni les standardistes, ni les voyants ne délivrent d’information relative au traitement de telles données ni ne recueillent de consentement.

114. Dès lors, la formation restreinte considère que la société ne fournit pas aux personnes concernées une information spécifique et ne recueille pas leur consentement de manière explicite, de sorte qu’elle ne peut se prévaloir de l’exception à l’interdiction de collecter et traiter des catégories particulières de données prévue à l’article 9, paragraphe 2, a) du RGPD.

115. En conséquence, la formation restreinte considère qu’en l’absence de recueil du consentement préalable et explicite des clients à la collecte de leurs données sensibles, et d’une information spécifique à ce sujet, un manquement à l’article 9 du RGPD est constitué.

(CNIL, Délibération SAN-2024-014 du 26 septembre 2024 – https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000050324625)

Me Philippe Ehrenström, avocat, LLM