L’affaire Facebook n’est pas la seule qui fait le plus parler d’elle en termes de protection des données personnelles. Il y a aussi celle concernant Gindr, la célèbre application de rencontres gay. Dans l’objectif d’améliorer ses services, celle-ci n’a pas hésité à partager avec deux prestataires extérieurs des données utilisateurs. Mise en cause dans cette affaire, l’entreprise refuse de faire un mea culpa, mais affirme sa volonté de ne plus recourir à une telle pratique. Mais que dit la loi sur une affaire de ce genre ? Eléments de réponse dans cet article.
Recueil et utilisations polémiques de statuts sérologiques
Grindr est l’une des rares applications de rencontre où il existe un champ concernant le statut sérologique au moment de l’inscription. Certes, le remplissage est facultatif, mais cela n’enlève en rien le fait que cette pratique est inhabituelle. Par ailleurs, dans son article 8, la loi informatique et libertés interdit la collecte des données sensibles, entre autres celles concernant la santé ou la vie sexuelle d’un individu. Le même texte prévoit cependant des exceptions, parmi lesquelles le fait que la personne concernée a fourni un consentement exprès. Pour justifier ces exceptions cependant, il faut prouver la pertinence desdites données dans le fonctionnement d’un tel site. Clémence Scottez, chef du service des affaires économiques de la Cnil, pense que le statut sérologique ne devrait pas y avoir sa place. La collecte n’est ainsi, pour elle, pas légitime.
Grindr a-t-elle le droit au partage de ces données ?
Pour ses dirigeants, il est insensé de comparer cette affaire à celle qui a mis à mal depuis quelques semaines le géant Facebook, en parlant notamment de « pratiques standard dans l’industrie ». Ils affirment même détenir l’une des clauses contractuelles les plus strictes en matière de confidentialité et sécurité des données et de vie privée. Le site de rencontres soutient, par ailleurs, qu’il ne pourra jamais vendre les informations confidentielles de ses membres.
Si son explication s’est arrêtée là, la polémique ne risquait pas de s’enfler. Malheureusement, Grindr a préféré aller plus loin en renvoyant la balle à ses membres, disant que ceux-ci savaient que les informations sur leur profil deviennent publiques. Pourtant la loi française indique clairement que ce partage « doit faire l’objet d’un consentement exprès et spécifique, sauf si le tiers agit en tant que « sous-traitant », sous le seul contrôle de l’éditeur du site qui l’emploie, et ne traite pas les données pour son propre compte ». Ce statut de sous-traitant peut cependant être sujet à débats et lorsqu’il a été contacté par un journaliste, l’un des prestataires qui a reçu ces données a soutenu que le traitement de ces informations se réalise pour le compte du site de rencontres.
À l’heure où nous écrivons cet article donc, Grindr ne risque quasiment rien, mais il ne pourra agir de la même façon après la mise en vigueur du règlement général sur la protection des données. Ce texte prévoit en effet des conditions plus strictes de validité du consentement des utilisateurs.