Après Facebook, c'est au tour de Grindr, application de rencontre gay, d'être accusé de partager les données personnelles et sensibles de ses utilisateurs avec des tiers. La plateforme a présenté ses excuses et annoncé changer sa politique de protection de la vie privée.

L'utilisateur fait le choix de partager ou non sa sérologie et la date de son dernier dépistage
L'utilisateur fait le choix de partager ou non sa sérologie et la date de son dernier dépistage © Radio France / Olivier Bénis

Les scandales autour des données personnelles sur Internet ne finissent pas de susciter indignation chez les utilisateurs. Celui de Facebook-Cambridge Analytica avait pris des proportions importantes à cause de l'utilisation politique qui a été faite des données. Le dernier en date revêt plutôt une portée symbolique, mais aux conséquences importantes sur l'amélioration de la protection de la vie privée.

C'est l'application de rencontre gay Grindr qui est cette-fois montrée du doigt. Buzzfeed, en s'appuyant sur le travail de Sintef (une ONG norvégienne), a révélé que le service partageait les informations personnelles des 3,6 millions d’utilisateurs actifs quotidiens avec deux prestataires (Apptimize et Localytics) engagés pour améliorer l'offre de Grindr. Dans ces données figurent notamment leurs coordonnées, localisations, positions sexuelles favorites, et, ce qui fait polémique, leur sérologie et la date de leur dernier dépistage HIV.

Depuis, de nombreuses voix se sont élevées, en particulier sur les réseaux sociaux, pour dénoncer ce partage de données sensibles à des entreprises. L'association AIDES appelle même au boycott de Grindr avec le hashtag #DeleteGrindr.

Face au tollé, Grindr a annoncé qu'il renonçait à l'avenir à partager avec des sociétés les informations sur la sérologie de leurs utilisateurs et s'est fendu d'un communiqué d'explications en 4 points censés apaiser les esprits.

Contrairement aux premières réactions des internautes qui s'indignaient de la vente d'informations par le service, Grindr commence par préciser que jamais ils n'ont vendu, et ne vendront à l'avenir, "les informations personnelles d'utilisateurs identifiés – en particulier concernant leur sérologie et date de dernier dépistage – à des tierces parties ou des publicitaires". Effectivement, Grindr, comme le révèle Buzzfeed, n'est pas accusé d'avoir vendu mais d'avoir partagé ces données.

Se dégager de ses responsabilités

Pour sa défense, Grindr a expliqué qu'il ne s'agissait pas de partager les données pour qu'elles soient utilisées de façon détournées (à des fins commerciales, politiques, etc...) mais de garantir un accès à ces sociétés afin de "tester et d'optimiser" la plateforme. Des "pratiques standard", ajoute même Grindr, encadrées contractuellement afin de "fournir le plus haut niveau de confidentialité, de sécurité des données et protection de la vie privée".

Une preuve de bonne volonté, mais en aucun cas l'assurance que les informations, bien que "cryptées", ne soient réellement en sécurité. Partager des données, c'est prendre le risque qu'on tente de les pirater pour le journaliste Jean-Marc Manach, spécialiste des questions numérique et vie privée :

C'est comme les banques, aucun système n'est à 100% sécurisé. Et il y aura toujours des gens qui vont essayer de braquer des banques ou des fourgons blindés.

"Pour les informations sur Internet, c'est devenu de plus en plus compliqué, mais ça n'empêchera pas des pirates d'essayer de pirater des bases de données.

Arrive le moment où Grindr tente de se dégager de ses responsabilités : comme dans tout "forum public", chaque utilisateur est libre de ne pas fournir d'informations (sur sa sérologie, par exemple), et "chacun doit peser avec précaution quelle information inclure" à son profil ou non. "Là où Grindr se défausse peut-être un peu rapidement, rétorque Jean-Marc Manach, c'est que, comme ce sont des données éminemment sensibles, la responsabilité de Grindr, c'était évidemment de ne pas les partager. Et comme ils ont décidé d'arrêter de les partager dorénavant, ils ont probablement pris conscience qu'ils avaient fait une erreur."

Mais les questions de vie privée, de protection des données, sont traitées différemment en Europe et aux États-Unis. Pour Jean-Marc Manach, "il faut comprendre que ces notions n'ont rien à voir avec celles que l'on a en France et en Europe. Là-bas, ça relève de la Federal Trade Commission. Ce sont donc des droits commerciaux qui permettent à des entreprises d'accéder à des données et de pouvoir monétiser leur accès. Alors qu'en France et en Europe, notamment bientôt avec le RGPD [Règlement général sur la protection des données qui entre en application dans les 28 pays en mai, ndlr], on considère que c'est de l'ordre de la vie privée, que cela appartient aux utilisateurs et que ce sont eux qui peuvent décider ce qui peut être fait ou non de leurs données".

Déteindre sur la législation américaine

La répétition des scandale a des effets. Elle force les entreprises du web aux Etats-Unis à revoir leur politique de protection des données. "Nous n'avons pas passé assez de temps à réfléchir aux mauvais côtés de certaines utilisations des outils", a récemment concédé le patron de Facebook, Mark Zuckerberg, suite au scandale Cambridge Analytica et la perte de 100 milliards en Bourse. Grindr assure ne plus partager les données sensibles avec des entreprises tierces.

Jean-Marc Manach : "C'est un processus vertueux. Il a fallu attendre 2001 pour que Microsoft commence réellement à s'intéresser à la sécurité informatique alors que le web date de 1994. Il a fallu attendre Snowden pour réellement s'intéresser à la vie privée et la sécurité. Donc il va falloir aussi attendre un certain nombre d'années avant que ces sites de rencontres règlent ces problématiques. 

Mais cette affaire Grindr va contribuer au cercle vertueux et faire que d'autres applications et services corrigent ce genre de problèmes.

Le RGPD pourrait aussi déteindre sur la loi américaine. En mai, les entreprises du web, des Gafa aux petites sociétés de service, devront se plier aux règles européennes (le contrôle de l'utilisation des données personnelles pour les internautes, le droit de savoir qu'elle information est diffusée et à qui, le droit à l'oubli, etc.) pour les utilisateurs européens qui se connectent leurs services. En cas de non respect, les entreprises risquent des sanctions, notamment des amendes administratives (jusqu'à 4 % du chiffre d'affaires annuel mondial).

Dans une tribune au New York Times, l'ancien directeur de la FCC (Commission fédérale des communications) explique que la RGDP pourrait pousser le législateur aux USA à répondre aux interrogations légitimes des américains : "Comment se fait-il que des entreprises américaines d'internet comme Facebook ou Google ont l'obligation de fournir des protections de la vie privée quand ils font affaire avec des consommateurs européens, mais n'ont pas cette obligation quand il s'agit d'Américains ?" Et d'ajouter, qu'une fois n'est pas coutume, "le Nouveau Monde devrait apprendre du Vieux Continent".

Mots-clés :
Ce contenu n'est pas ouvert aux commentaires.