Application de rencontre et communication illicite de données à des fins publicitaires
L’autorité de protection des données norvégienne (Datatilsynet, NO DPA) ouvre une enquête après avoir été alertée par le Service norvégien de consultation des consommateurs (Norwegian Consumer Counsil, NCC), en collaboration avec l’association None of Your Business (noyb), d’une potentielle violation des exigences relatives au consentement comme fondement du traitement et à la communication de catégories particulières de données à caractère personnel. Le NCC joint aux plaintes son rapport Out of control : How consumers are Exploited by The Online Advertising Industry et le rapport technique l’accompagnant.
Dans sa décision et en se limitant à l’ancienne plateforme de gestion du consentement, en vigueur jusqu’au 8 avril 2020, la NO DPA fonde sa compétence sur la base de l’art. 55 par. 1 RGPD à raison de traitements de données effectués sur le territoire norvégien par l’entreprise américaine.
L’autorité norvégienne constate que Grindr communique à plus d’une centaine de partenaires le nom de l’application en lien avec des informations relatives à l’environnement informatique (version du système d’exploitation, modèle, résolution de l’écran, etc.), les identifiants en ligne, la localisation, l’adresse IP, le genre et l’âge reporté par les utilisateurs de l’application. La communication consistant en un traitement de données, elle nécessite de réunir l’une des conditions de l’art. 6 par. 1 RGPD pour constituer un traitement licite.
Dès lors, la NO DPA relève que, comme déjà établi par le Comité européen de la protection des données (CEPD), lorsqu’il en va de la communication de données à des fins publicitaires, le consentement (art. 6 par. 1 let. a RGPD) est le seul fondement valable. En particulier, il doit être libre, spécifique, informé, univoque (art. 4 ch. 11 et art. 7 RGPD) et la personne concernée doit pouvoir le retirer aussi simplement que le fournir (art. 7 par. 3 RGPD). La NO DPA, s’appuyant sur les lignes directrices édictées par le CEPD (cf. swissprivacy.law/6/) analyse chaque composante du consentement dans le cas d’espèce.
Pour qu’un consentement soit libre tout d’abord, il doit être donné à l’issue d’un véritable choix libre impliquant un choix réel, un contrôle et un haut degré d’autonomie de la part des personnes concernées. L’ancienne plateforme de gestion du consentement implique les traitements de données personnelles des personnes s’enregistrant sur l’application pour plusieurs buts sans les distinguer lors du recueil du consentement de la personne concernée, alors que le consid. 43 RGPD dispose que le consentement est présumé comme n’étant pas donné librement s’il ne peut pas être fourni distinctement pour plusieurs traitements différents. En d’autres termes, il doit être « granulaire » (soit permettant de consentir à certains éléments et non à d’autres, « granular »).
En l’espèce le consentement unique requis par Grindr couvre tant la fourniture des principaux services de l’application que le partage des données personnelles avec des tiers à des fins publicitaires. Les personnes concernées doivent accepter en un bloc la politique de confidentialité, le traitement de leurs données pour le fonctionnement nécessaire de l’application et la communication de ces données. Ce manque de granularité est considéré par la NO DPA comme une violation du caractère libre du consentement.
Toujours dans l’examen du caractère libre du consentement, le consid. 43 RGPD dispose que le consentement n’est pas présumé libre si l’exécution d’un contrat est subordonnée à celui-ci alors qu’il n’est pas nécessaire à cette exécution.
En l’espèce, la communication de données personnelles à des fins publicitaires n’est pas nécessaire aux fins des performances de l’application. Néanmoins, l’individu refusant d’accepter la politique confidentialité et, de ce fait, la transmission des données le concernant à des partenaires, ne peut pas aller de l’avant avec son inscription à l’application dans sa version gratuite.
Pour sa défense, Grindr invoque toutefois que le consentement n’est pas nécessairement exigé. En effet, des informations pour un opt-out sont transmises et il est possible de passer à la version payante de l’application. L’opt-out n’équivaut toutefois pas au consentement et le processus étaitcompliqué comparé à la fourniture du consentement ; le premier requiert des personnes concernées des connaissances poussées et les prive dès lors d’un réel choix. En outre, Grindr n’assume pas sa responsabilité (art.5 par. 2 RGPD) : dans certains cas, l’application se limite à transmettre les préférences de la personne concernée et ses partenaires conservent le choix d’appliquer ou non ces préférences. Le passage à la version payante n’implique pas clairement la possibilité d’un opt-out et ne constitue pas une alternative équivalente à la version gratuite, compte tenu du montant d’un abonnement annuel et du fait que les données ne devraient pas être utilisées comme des marchandises négociables. Pour ces raisons, l’accès aux services de la version gratuite dépend bel et bien, en pratique, du consentement à la communication, pourtant non nécessaire à l’exécution du contrat, de données personnelles à des tiers publicitaires.
Pour que le consentement soit librement donné, la personne concernée doit finalement pouvoir retirer son consentement sans subir de préjudice (consid. 42 RGPD). En l’occurrence, l’individu refusant de fournir son consentement ne peut tout simplement pas continuer son inscription sur la version gratuite de l’application. En outre, il faut, selon l’ancienne plateforme de gestion du consentement, fournir son consentement avant de pouvoir procéder à un opt-out ou passer à la version payante. Partant, la personne concernée ne peut pas retirer son consentement sans préjudice.
En plus d’être libre, le consentement doit être spécifique, c’est-à-dire porter sur une ou plusieurs finalités spécifiques (notion à analyser à l’aune des art. 6 par. 1 let. a et 5 par. 1 let b RGPD relativement au principe de minimisation des données). L’exigence d’un consentement granulaire s’imposant tant pour le caractère libre du consentement que pour son caractère spécifique, la NO DPA conclut que Grindr ne respecte pas non plus in casu le caractère spécifique du consentement.
Deuxièmement, le consentement doit au surplus être éclairé. Cette exigence s’apprécie à l’aune du principe de transparence de l’art. 5 par. 1 let. a RGPD. Pour ce faire, l’art. 7 par. 2 RGPD dispose que, dans le cadre d’une déclaration écrite prévoyant plusieurs questions, celle du consentement doit en être distinguée. En particulier, le consid. 42 RGPD précise qu’il faut que la personne concernée puisse en tout cas reconnaître, entre autres, les buts du traitement de ses données. Elle doit aussi pouvoir déterminer aisément les conséquences de son consentement. En noyant les informations au sein de sa politique de confidentialité et en ne présentant pas l’information dans une forme accessible permettant de déterminer les conséquences du consentement, Grindr n’offre pas cette transparence avant l’obtention dudit consentement.
Le consentement doit également être univoque, dans le sens où il doit être évident que la personne concernée consent à un traitement particulier. Par le consentement à la politique de confidentialité de Grindr, il n’est pas clair pour l’individu souscrivant à un compte qu’il accepte que ses données soient partagées à des tiers pour de la publicité comportementale. Selon l’autorité norvégienne, la situation ne peut donc pas être considérée comme dénuée d’ambiguïté. L’opt-out n’est pas suffisamment clair non plus, raison supplémentaire pour laquelle ce processus ne peut être considéré comme équivalant au consentement.
Finalement, le consentement doit être aussi simple à retirer qu’à donner. Alors qu’il suffit de deux clics pour consentir à la communication de données à caractère personnel, le retrait du consentement exige de la personne concernée qu’elle lise une longue politique de confidentialité et parvienne à comprendre comment y procéder techniquement. Par conséquent, les seules réelles alternatives sont la suppression du compte ou le passage à la version payante de l’application. Aucune de ces possibilités ne pouvant être considérée comme aussi simple que la fourniture du consentement, cette exigence est par conséquent violée par Grindr.
À cela, encore faut-il ajouter que les données que Grindr traite et communique illicitement constituent en outre des données sensibles (art. 9 RGPD). En effet, l’application a vocation à cibler explicitement des minorités sexuelles et transmet à ses partenaires des mots-clés susceptibles de conduire à des préjudices et des discriminations contre les personnes concernées. Les conditions d’un consentement valable selon l’art. 6 par. 1 let. a RGPD n’étant pas réunies, le consentement explicite de l’art. 9 par. 2 let. a RGPD n’est pas un fondement envisageable.
L’art. 9 par. 2 let. e RGPD prévoit que l’on peut traiter les données sensibles rendues manifestement publiques par la personne concernée. Ce fondement ne peut pas non pas non plus trouver application en l’espèce, dans la mesure où les données accessibles aux membres d’une communauté (qui plus est à un nombre limité de membres en pratique) ne sont généralement pas considérées comme des données rendues manifestement publiques.
Cette décision constitue selon nous le reflet d’une volonté politique tendant à la prise de conscience par les acteurs importants du numérique quant à leur rôle ainsi qu’à leur responsabilisation, en termes de protection des données et d’espace numérique sûr.
Proposition de citation : Pauline Meyer, Application de rencontre et communication illicite de données à des fins publicitaires, 18 février 2022 in www.swissprivacy.law/126
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.