Les services de l’Autorité de régulation de la communication audiovisuelle et numérique (anciennement Conseil Supérieur de l'Audiovisuel) sont amenés à mettre en œuvre des traitements de données à partir d’informations collectées sur des sites internet tiers.
1. Cadre de la collecte
Ces traitements de données peuvent comporter des « données à caractère personnel ». Ils sont mis en œuvre en application des missions et prérogatives suivantes de l’Arcom :
- pouvoir de constatation des infractions des agents assermentés qui peuvent « extraire, acquérir ou conserver (…) des éléments de preuve » sur des services de communication au public en ligne dans le cadre de :
- la lutte contre les services de communication au public en ligne portant atteinte, de manière grave et répétée, aux droits d'auteur ou aux droits voisins (v. articles L. 331-14 et L. 331-25 du code de la propriété intellectuelle) ;
- la lutte contre les services de communication au public en ligne reprenant le contenu de ceux bloqués par décision judiciaire pour atteinte au droit d’auteur ou aux droits voisins (v. articles L. 331-14 et L. 331-27 du code de la propriété intellectuelle) ;
- pouvoir de constatation des faits susceptibles de constituer des atteintes aux droits mentionnés à l’article L 333-10 du code du sport (v. article L 333-11 du code du sport) ;
- mission d’évaluation du « niveau d’efficacité des mesures de protection des œuvres et des objets protégés prises par les fournisseurs de services de partage de contenus en ligne (…) au regard de leur aptitude à assurer la protection des œuvres et des objets protégés par le droit d’auteur et les droits voisins, y compris leurs conditions de déploiement et de fonctionnement ». Au titre de cette mission d'évaluation, les agents habilités et assermentés de l’Arcom peuvent mettre en œuvre des méthodes proportionnées de collecte automatisée des données publiquement accessibles. (v. articles L. 331-18 du code de la propriété intellectuelle) ;
- recueil auprès des opérateurs de plateformes en ligne, dans les conditions prévues à l’article 19 de la loi du 30 septembre 1986, des informations nécessaires au suivi de leurs obligations en matière de lutte contre les contenus haineux (v. articles 19 et 62 de la loi du 30 septembre 1986 modifiée à la suite de la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République) ;
- réalisation d’études, par l’Arcom seule, ou avec le concours du Pôle d'Expertise de la Régulation Numérique (v. article 36 de la loi n° 2021-1382 du 25 octobre 2021 et dix-neuvième alinéa de l’article 18 de la loi du 30 septembre 1986, notamment sur les réseaux sociaux sur lesquels l’Arcom est compétente) ;
- pouvoir d’enquête menée par des agents assermentés de l’Arcom sur les éditeurs et distributeurs de services de communication audiovisuelle, les opérateurs de réseaux satellitaires, les sociétés assurant la diffusion de services de communication audiovisuelle ainsi que les plateformes de partage de vidéos (v. article 19 de la loi du 30 septembre 1986).
2. Licéité des traitements
La licéité des traitements énumérés s’appuie sur le e) du (1) de l’article 6 du règlement général sur la protection des données (RGPD). Ces traitements de données relèvent en effet de l'exercice de l'autorité publique dont est investie l’Arcom en application des textes précités.
3. Catégorie de données collectées
Les informations à caractère personnel (données susceptibles de se rapporter à des personnes physiques identifiées ou identifiables) susceptibles d’être collectées dans le cadre des missions et prérogatives de l’Arcom entrent dans les catégories suivantes :
- données d’identification (nom, nom d’utilisateur, identifiant numérique de l’utilisateur, zone géographique) ;
- caractéristiques personnelles (âge, sexe, situation familiale) ;
- habitudes de consommation ;
- centres d’intérêts ;
- parcours scolaire et professionnel ;
- photos et vidéos ;
- toute autre information publiée sur le site internet.
4. Utilisation et garanties
Les principes de minimisation, d’exactitude, de limitation de la conservation, d’intégrité et de confidentialité gouvernent de manière générale l’ensemble des traitements de données à caractère personnel mis en œuvre par l’Arcom. S’agissant des travaux d’études en particulier, cette dernière s’assure de prévoir des garanties appropriées au sens de l’article 89 du RGPD.
Les données sont conservées par principe le temps de l’instruction des dossiers qui les concernent. A ce délai, peuvent s’ajouter les délais de prescription légale et d’archivage public applicables. Dans ces deux derniers cas, l’accès aux données est réduit aux services du contentieux et d’archivage et ces données ne peuvent être communiquées que de manière justifiée, ponctuelle et circonstanciée aux autres services de l’Arcom.
5. Source des données
Les données utilisées sont extraites de sites internet tiers dans le cadre des attributions légales listées plus haut.
Lorsque cela est possible et pertinent, les données sont susceptibles d’être collectées spécifiquement par le biais d’interfaces de programmation (API).
6. Absence de prise de décisions automatisées
Les traitements de données ne consistent pas en la prise de décision automatisée qui, au sens du RGPD, produirait des effets juridiques ou des effets significatifs pour les personnes concernées.
7. Destinataires des données
Les données sont traitées par les agents de l’Arcom habilités à le faire et dont les missions le justifient. Elles ne sont pas transmises à des tiers, sauf aux autorités légalement autorisées à se les faire communiquer.
Les agents de l’Arcom sont astreints au secret professionnel pour les informations dont ils peuvent ou ont pu avoir connaissance en raison de leurs fonctions.
Des données à caractère personnel peuvent être rendues publiques dans le cadre de travaux de recherche pour les seuls cas où les finalités de l’étude le justifient absolument (par exemple mention du nom d’une personnalité politique d’envergure nationale ou internationale et statistiques qui s’y rapportent). Le Conseil applique dans ce cadre les dispositions du décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
8. Les droits des personnes concernées
L’Arcom rappelle que les personnes physiques concernées par les traitements de données disposent d’un droit d'accès, d'un droit de rectification, d’un droit d’opposition et d’un droit de limitation du traitement.
Ces droits peuvent être exercés auprès du délégué à la protection des données personnelles (DPO) de l’Arcom dans les conditions précisées ci-dessous. Les demandes seront examinées dans les conditions de recevabilité du RGPD (notamment ses articles 12 à 22 et son article 89).
9. Les coordonnées du DPO de l’Arcom
Le délégué à la protection des données (DPO) de l’Arcom se tient à disposition des personnes concernées pour répondre à toute question relative au traitement de données à caractère personnel collectées à partir de sites internet tiers.
Le DPO peut être contacté :
- à l’adresse électronique suivante : dpo@arcom.fr
- ou par courrier signé à l'adresse suivante :
Autorité de régulation de la communication audiovisuelle et numérique
A l'attention du délégué à la protection des données (DPO)
39-43 Quai André Citroën, 75015 Paris
Les personnes qui souhaitent exercer leurs droits doivent accompagner leur demande d’un justificatif d’identité.
10. Compétence de la CNIL
En cas de besoin, l’autorité administrative compétente en matière de traitements de données à caractère personnel est la Commission nationale de l’informatique et des libertés (CNIL). Celle-ci peut être saisie de réclamations liées à l’utilisation de données à caractère personnel.