Décision Autorité norvé­gienne de protec­tion des données du 13 décembre 2021, Grindr LLC 20÷02136−18

L’autorité de protec­tion des données norvé­gienne (Datatilsynet, NO DPA) ouvre une enquête après avoir été aler­tée par le Service norvé­gien de consul­ta­tion des consom­ma­teurs (Norwegian Consumer Counsil, NCC), en colla­bo­ra­tion avec l’association None of Your Business (noyb), d’une poten­tielle viola­tion des exigences rela­tives au consen­te­ment comme fonde­ment du trai­te­ment et à la commu­ni­ca­tion de caté­go­ries parti­cu­lières de données à carac­tère person­nel. Le NCC joint aux plaintes son rapport Out of control : How consu­mers are Exploited by The Online Advertising Industry  et le rapport tech­nique l’accompagnant.

Dans sa déci­sion et en se limi­tant à l’ancienne plate­forme de gestion du consen­te­ment, en vigueur jusqu’au 8 avril 2020, la NO DPA fonde sa compé­tence sur la base de l’art. 55 par. 1 RGPD à raison de trai­te­ments de données effec­tués sur le terri­toire norvé­gien par l’entreprise américaine.

L’autorité norvé­gienne constate que Grindr commu­nique à plus d’une centaine de parte­naires le nom de l’application en lien avec des infor­ma­tions rela­tives à l’environnement infor­ma­tique (version du système d’exploitation, modèle, réso­lu­tion de l’écran, etc.), les iden­ti­fiants en ligne, la loca­li­sa­tion, l’adresse IP, le genre et l’âge reporté par les utili­sa­teurs de l’application. La commu­ni­ca­tion consis­tant en un trai­te­ment de données, elle néces­site de réunir l’une des condi­tions de l’art. 6 par. 1 RGPD pour consti­tuer un trai­te­ment licite.

Dès lors, la NO DPA relève que, comme déjà établi par le Comité euro­péen de la protec­tion des données (CEPD), lorsqu’il en va de la commu­ni­ca­tion de données à des fins publi­ci­taires, le consen­te­ment (art. 6 par. 1 let. a RGPD) est le seul fonde­ment valable. En parti­cu­lier, il doit être libre, spéci­fique, informé, univoque (art. 4 ch. 11 et art. 7 RGPD) et la personne concer­née doit pouvoir le reti­rer aussi simple­ment que le four­nir (art. 7 par. 3 RGPD). La NO DPA, s’appuyant sur les lignes direc­trices édic­tées par le CEPD (cf. swiss​pri​vacy​.law/6/) analyse chaque compo­sante du consen­te­ment dans le cas d’espèce.

Pour qu’un consen­te­ment soit libre tout d’abord, il doit être donné à l’issue d’un véri­table choix libre impli­quant un choix réel, un contrôle et un haut degré d’autonomie de la part des personnes concer­nées. L’ancienne plate­forme de gestion du consen­te­ment implique les trai­te­ments de données person­nelles des personnes s’enregistrant sur l’application pour plusieurs buts sans les distin­guer lors du recueil du consen­te­ment de la personne concer­née, alors que le consid. 43 RGPD dispose que le consen­te­ment est présumé comme n’étant pas donné libre­ment s’il ne peut pas être fourni distinc­te­ment pour plusieurs trai­te­ments diffé­rents. En d’autres termes, il doit être « granu­laire » (soit permet­tant de consen­tir à certains éléments et non à d’autres, « granu­lar »).

En l’espèce le consen­te­ment unique requis par Grindr couvre tant la four­ni­ture des prin­ci­paux services de l’application que le partage des données person­nelles avec des tiers à des fins publi­ci­taires. Les personnes concer­nées doivent accep­ter en un bloc la poli­tique de confi­den­tia­lité, le trai­te­ment de leurs données pour le fonc­tion­ne­ment néces­saire de l’application et la commu­ni­ca­tion de ces données. Ce manque de granu­la­rité est consi­déré par la NO DPA comme une viola­tion du carac­tère libre du consentement.

Toujours dans l’examen du carac­tère libre du consen­te­ment, le consid. 43 RGPD dispose que le consen­te­ment n’est pas présumé libre si l’exécution d’un contrat est subor­don­née à celui-ci alors qu’il n’est pas néces­saire à cette exécution.

En l’espèce, la commu­ni­ca­tion de données person­nelles à des fins publi­ci­taires n’est pas néces­saire aux fins des perfor­mances de l’application. Néanmoins, l’individu refu­sant d’accepter la poli­tique confi­den­tia­lité et, de ce fait, la trans­mis­sion des données le concer­nant à des parte­naires, ne peut pas aller de l’avant avec son inscrip­tion à l’application dans sa version gratuite.

Pour sa défense, Grindr invoque toute­fois que le consen­te­ment n’est pas néces­sai­re­ment exigé. En effet, des infor­ma­tions pour un opt-out sont trans­mises et il est possible de passer à la version payante de l’application. L’opt-out n’équivaut toute­fois pas au consen­te­ment et le proces­sus était­com­pli­qué comparé à la four­ni­ture du consen­te­ment ; le premier requiert des personnes concer­nées des connais­sances pous­sées et les prive dès lors d’un réel choix. En outre, Grindr n’assume pas sa respon­sa­bi­lité (art.5 par. 2 RGPD) : dans certains cas, l’application se limite à trans­mettre les préfé­rences de la personne concer­née et ses parte­naires conservent le choix d’appliquer ou non ces préfé­rences. Le passage à la version payante n’implique pas clai­re­ment la possi­bi­lité d’un opt-out et ne consti­tue pas une alter­na­tive équi­va­lente à la version gratuite, compte tenu du montant d’un abon­ne­ment annuel et du fait que les données ne devraient pas être utili­sées comme des marchan­dises négo­ciables. Pour ces raisons, l’accès aux services de la version gratuite dépend bel et bien, en pratique, du consen­te­ment à la commu­ni­ca­tion, pour­tant non néces­saire à l’exécution du contrat, de données person­nelles à des tiers publicitaires.

Pour que le consen­te­ment soit libre­ment donné, la personne concer­née doit fina­le­ment pouvoir reti­rer son consen­te­ment sans subir de préju­dice (consid. 42 RGPD). En l’occurrence, l’individu refu­sant de four­nir son consen­te­ment ne peut tout simple­ment pas conti­nuer son inscrip­tion sur la version gratuite de l’application. En outre, il faut, selon l’ancienne plate­forme de gestion du consen­te­ment, four­nir son consen­te­ment avant de pouvoir procé­der à un opt-out ou passer à la version payante. Partant, la personne concer­née ne peut pas reti­rer son consen­te­ment sans préjudice.

En plus d’être libre, le consen­te­ment doit être spéci­fique, c’est-à-dire porter sur une ou plusieurs fina­li­tés spéci­fiques (notion à analy­ser à l’aune des art. 6 par. 1 let. a et 5 par. 1 let b RGPD rela­ti­ve­ment au prin­cipe de mini­mi­sa­tion des données). L’exigence d’un consen­te­ment granu­laire s’imposant tant pour le carac­tère libre du consen­te­ment que pour son carac­tère spéci­fique, la NO DPA conclut que Grindr ne respecte pas non plus in casu le carac­tère spéci­fique du consentement.

Deuxièmement, le consen­te­ment doit au surplus être éclairé. Cette exigence s’apprécie à l’aune du prin­cipe de trans­pa­rence de l’art. 5 par. 1 let. a RGPD. Pour ce faire, l’art. 7 par. 2 RGPD dispose que, dans le cadre d’une décla­ra­tion écrite prévoyant plusieurs ques­tions, celle du consen­te­ment doit en être distin­guée. En parti­cu­lier, le consid. 42 RGPD précise qu’il faut que la personne concer­née puisse en tout cas recon­naître, entre autres, les buts du trai­te­ment de ses données. Elle doit aussi pouvoir déter­mi­ner aisé­ment les consé­quences de son consen­te­ment. En noyant les infor­ma­tions au sein de sa poli­tique de confi­den­tia­lité et en ne présen­tant pas l’information dans une forme acces­sible permet­tant de déter­mi­ner les consé­quences du consen­te­ment, Grindr n’offre pas cette trans­pa­rence avant l’ob­ten­tion dudit consentement.

Le consen­te­ment doit égale­ment être univoque, dans le sens où il doit être évident que la personne concer­née consent à un trai­te­ment parti­cu­lier. Par le consen­te­ment à la poli­tique de confi­den­tia­lité de Grindr, il n’est pas clair pour l’individu sous­cri­vant à un compte qu’il accepte que ses données soient parta­gées à des tiers pour de la publi­cité compor­te­men­tale. Selon l’autorité norvé­gienne, la situa­tion ne peut donc pas être consi­dé­rée comme dénuée d’ambiguïté. L’opt-out n’est pas suffi­sam­ment clair non plus, raison supplé­men­taire pour laquelle ce proces­sus ne peut être consi­déré comme équi­va­lant au consentement.

Finalement, le consen­te­ment doit être aussi simple à reti­rer qu’à donner. Alors qu’il suffit de deux clics pour consen­tir à la commu­ni­ca­tion de données à carac­tère person­nel, le retrait du consen­te­ment exige de la personne concer­née qu’elle lise une longue poli­tique de confi­den­tia­lité et parvienne à comprendre comment y procé­der tech­ni­que­ment. Par consé­quent, les seules réelles alter­na­tives sont la suppres­sion du compte ou le passage à la version payante de l’application. Aucune de ces possi­bi­li­tés ne pouvant être consi­dé­rée comme aussi simple que la four­ni­ture du consen­te­ment, cette exigence est par consé­quent violée par Grindr.

À cela, encore faut-il ajou­ter que les données que Grindr traite et commu­nique illi­ci­te­ment consti­tuent en outre des données sensibles (art. 9 RGPD). En effet, l’application a voca­tion à cibler expli­ci­te­ment des mino­ri­tés sexuelles et trans­met à ses parte­naires des mots-clés suscep­tibles de conduire à des préju­dices et des discri­mi­na­tions contre les personnes concer­nées. Les condi­tions d’un consen­te­ment valable selon l’art. 6 par. 1 let. a RGPD n’étant pas réunies, le consen­te­ment expli­cite de l’art. 9 par. 2 let. a RGPD n’est pas un fonde­ment envisageable.

L’art. 9 par. 2 let. e RGPD prévoit que l’on peut trai­ter les données sensibles rendues mani­fes­te­ment publiques par la personne concer­née. Ce fonde­ment ne peut pas non pas non plus trou­ver appli­ca­tion en l’espèce, dans la mesure où les données acces­sibles aux membres d’une commu­nauté (qui plus est à un nombre limité de membres en pratique) ne sont géné­ra­le­ment pas consi­dé­rées comme des données rendues mani­fes­te­ment publiques.

Cette déci­sion consti­tue selon nous le reflet d’une volonté poli­tique tendant à la prise de conscience par les acteurs impor­tants du numé­rique quant à leur rôle ainsi qu’à leur respon­sa­bi­li­sa­tion, en termes de protec­tion des données et d’espace numé­rique sûr.