swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Application de rencontre et communication illicite de données à des fins publicitaires

Pauline Meyer, le 18 février 2022
L’autorité norvé­gienne de protec­tion des données a condamné fin 2021 la société améri­caine Grindr, à la tête de la plus impor­tante appli­ca­tion de rencontres pour la commu­nauté gay, bisexuelle, trans­sexuelle et queer, pour avoir traité et commu­ni­qué des données concer­nant la vie et l’orientation sexuelle à des tiers en viola­tion des art. 6 par. 1 et art. 9 par. 1 RGPD.

Décision Autorité norvé­gienne de protec­tion des données du 13 décembre 2021, Grindr LLC 20÷02136−18

L’autorité de protec­tion des données norvé­gienne (Datatilsynet, NO DPA) ouvre une enquête après avoir été aler­tée par le Service norvé­gien de consul­ta­tion des consom­ma­teurs (Norwegian Consumer Counsil, NCC), en colla­bo­ra­tion avec l’association None of Your Business (noyb), d’une poten­tielle viola­tion des exigences rela­tives au consen­te­ment comme fonde­ment du trai­te­ment et à la commu­ni­ca­tion de caté­go­ries parti­cu­lières de données à carac­tère person­nel. Le NCC joint aux plaintes son rapport Out of control : How consu­mers are Exploited by The Online Advertising Industry  et le rapport tech­nique l’accompagnant.

Dans sa déci­sion et en se limi­tant à l’ancienne plate­forme de gestion du consen­te­ment, en vigueur jusqu’au 8 avril 2020, la NO DPA fonde sa compé­tence sur la base de l’art. 55 par. 1 RGPD à raison de trai­te­ments de données effec­tués sur le terri­toire norvé­gien par l’entreprise américaine.

L’autorité norvé­gienne constate que Grindr commu­nique à plus d’une centaine de parte­naires le nom de l’application en lien avec des infor­ma­tions rela­tives à l’environnement infor­ma­tique (version du système d’exploitation, modèle, réso­lu­tion de l’écran, etc.), les iden­ti­fiants en ligne, la loca­li­sa­tion, l’adresse IP, le genre et l’âge reporté par les utili­sa­teurs de l’application. La commu­ni­ca­tion consis­tant en un trai­te­ment de données, elle néces­site de réunir l’une des condi­tions de l’art. 6 par. 1 RGPD pour consti­tuer un trai­te­ment licite.

Dès lors, la NO DPA relève que, comme déjà établi par le Comité euro­péen de la protec­tion des données (CEPD), lorsqu’il en va de la commu­ni­ca­tion de données à des fins publi­ci­taires, le consen­te­ment (art. 6 par. 1 let. a RGPD) est le seul fonde­ment valable. En parti­cu­lier, il doit être libre, spéci­fique, informé, univoque (art. 4 ch. 11 et art. 7 RGPD) et la personne concer­née doit pouvoir le reti­rer aussi simple­ment que le four­nir (art. 7 par. 3 RGPD). La NO DPA, s’appuyant sur les lignes direc­trices édic­tées par le CEPD (cf. swiss​pri​vacy​.law/6/) analyse chaque compo­sante du consen­te­ment dans le cas d’espèce.

Pour qu’un consen­te­ment soit libre tout d’abord, il doit être donné à l’issue d’un véri­table choix libre impli­quant un choix réel, un contrôle et un haut degré d’autonomie de la part des personnes concer­nées. L’ancienne plate­forme de gestion du consen­te­ment implique les trai­te­ments de données person­nelles des personnes s’enregistrant sur l’application pour plusieurs buts sans les distin­guer lors du recueil du consen­te­ment de la personne concer­née, alors que le consid. 43 RGPD dispose que le consen­te­ment est présumé comme n’étant pas donné libre­ment s’il ne peut pas être fourni distinc­te­ment pour plusieurs trai­te­ments diffé­rents. En d’autres termes, il doit être « granu­laire » (soit permet­tant de consen­tir à certains éléments et non à d’autres, « granu­lar »).

En l’espèce le consen­te­ment unique requis par Grindr couvre tant la four­ni­ture des prin­ci­paux services de l’application que le partage des données person­nelles avec des tiers à des fins publi­ci­taires. Les personnes concer­nées doivent accep­ter en un bloc la poli­tique de confi­den­tia­lité, le trai­te­ment de leurs données pour le fonc­tion­ne­ment néces­saire de l’application et la commu­ni­ca­tion de ces données. Ce manque de granu­la­rité est consi­déré par la NO DPA comme une viola­tion du carac­tère libre du consentement.

Toujours dans l’examen du carac­tère libre du consen­te­ment, le consid. 43 RGPD dispose que le consen­te­ment n’est pas présumé libre si l’exécution d’un contrat est subor­don­née à celui-ci alors qu’il n’est pas néces­saire à cette exécution.

En l’espèce, la commu­ni­ca­tion de données person­nelles à des fins publi­ci­taires n’est pas néces­saire aux fins des perfor­mances de l’application. Néanmoins, l’individu refu­sant d’accepter la poli­tique confi­den­tia­lité et, de ce fait, la trans­mis­sion des données le concer­nant à des parte­naires, ne peut pas aller de l’avant avec son inscrip­tion à l’application dans sa version gratuite.

Pour sa défense, Grindr invoque toute­fois que le consen­te­ment n’est pas néces­sai­re­ment exigé. En effet, des infor­ma­tions pour un opt-out sont trans­mises et il est possible de passer à la version payante de l’application. L’opt-out n’équivaut toute­fois pas au consen­te­ment et le proces­sus était­com­pli­qué comparé à la four­ni­ture du consen­te­ment ; le premier requiert des personnes concer­nées des connais­sances pous­sées et les prive dès lors d’un réel choix. En outre, Grindr n’assume pas sa respon­sa­bi­lité (art.5 par. 2 RGPD) : dans certains cas, l’application se limite à trans­mettre les préfé­rences de la personne concer­née et ses parte­naires conservent le choix d’appliquer ou non ces préfé­rences. Le passage à la version payante n’implique pas clai­re­ment la possi­bi­lité d’un opt-out et ne consti­tue pas une alter­na­tive équi­va­lente à la version gratuite, compte tenu du montant d’un abon­ne­ment annuel et du fait que les données ne devraient pas être utili­sées comme des marchan­dises négo­ciables. Pour ces raisons, l’accès aux services de la version gratuite dépend bel et bien, en pratique, du consen­te­ment à la commu­ni­ca­tion, pour­tant non néces­saire à l’exécution du contrat, de données person­nelles à des tiers publicitaires.

Pour que le consen­te­ment soit libre­ment donné, la personne concer­née doit fina­le­ment pouvoir reti­rer son consen­te­ment sans subir de préju­dice (consid. 42 RGPD). En l’occurrence, l’individu refu­sant de four­nir son consen­te­ment ne peut tout simple­ment pas conti­nuer son inscrip­tion sur la version gratuite de l’application. En outre, il faut, selon l’ancienne plate­forme de gestion du consen­te­ment, four­nir son consen­te­ment avant de pouvoir procé­der à un opt-out ou passer à la version payante. Partant, la personne concer­née ne peut pas reti­rer son consen­te­ment sans préjudice.

En plus d’être libre, le consen­te­ment doit être spéci­fique, c’est-à-dire porter sur une ou plusieurs fina­li­tés spéci­fiques (notion à analy­ser à l’aune des art. 6 par. 1 let. a et 5 par. 1 let b RGPD rela­ti­ve­ment au prin­cipe de mini­mi­sa­tion des données). L’exigence d’un consen­te­ment granu­laire s’imposant tant pour le carac­tère libre du consen­te­ment que pour son carac­tère spéci­fique, la NO DPA conclut que Grindr ne respecte pas non plus in casu le carac­tère spéci­fique du consentement.

Deuxièmement, le consen­te­ment doit au surplus être éclairé. Cette exigence s’apprécie à l’aune du prin­cipe de trans­pa­rence de l’art. 5 par. 1 let. a RGPD. Pour ce faire, l’art. 7 par. 2 RGPD dispose que, dans le cadre d’une décla­ra­tion écrite prévoyant plusieurs ques­tions, celle du consen­te­ment doit en être distin­guée. En parti­cu­lier, le consid. 42 RGPD précise qu’il faut que la personne concer­née puisse en tout cas recon­naître, entre autres, les buts du trai­te­ment de ses données. Elle doit aussi pouvoir déter­mi­ner aisé­ment les consé­quences de son consen­te­ment. En noyant les infor­ma­tions au sein de sa poli­tique de confi­den­tia­lité et en ne présen­tant pas l’information dans une forme acces­sible permet­tant de déter­mi­ner les consé­quences du consen­te­ment, Grindr n’offre pas cette trans­pa­rence avant l’ob­ten­tion dudit consentement.

Le consen­te­ment doit égale­ment être univoque, dans le sens où il doit être évident que la personne concer­née consent à un trai­te­ment parti­cu­lier. Par le consen­te­ment à la poli­tique de confi­den­tia­lité de Grindr, il n’est pas clair pour l’individu sous­cri­vant à un compte qu’il accepte que ses données soient parta­gées à des tiers pour de la publi­cité compor­te­men­tale. Selon l’autorité norvé­gienne, la situa­tion ne peut donc pas être consi­dé­rée comme dénuée d’ambiguïté. L’opt-out n’est pas suffi­sam­ment clair non plus, raison supplé­men­taire pour laquelle ce proces­sus ne peut être consi­déré comme équi­va­lant au consentement.

Finalement, le consen­te­ment doit être aussi simple à reti­rer qu’à donner. Alors qu’il suffit de deux clics pour consen­tir à la commu­ni­ca­tion de données à carac­tère person­nel, le retrait du consen­te­ment exige de la personne concer­née qu’elle lise une longue poli­tique de confi­den­tia­lité et parvienne à comprendre comment y procé­der tech­ni­que­ment. Par consé­quent, les seules réelles alter­na­tives sont la suppres­sion du compte ou le passage à la version payante de l’application. Aucune de ces possi­bi­li­tés ne pouvant être consi­dé­rée comme aussi simple que la four­ni­ture du consen­te­ment, cette exigence est par consé­quent violée par Grindr.

À cela, encore faut-il ajou­ter que les données que Grindr traite et commu­nique illi­ci­te­ment consti­tuent en outre des données sensibles (art. 9 RGPD). En effet, l’application a voca­tion à cibler expli­ci­te­ment des mino­ri­tés sexuelles et trans­met à ses parte­naires des mots-clés suscep­tibles de conduire à des préju­dices et des discri­mi­na­tions contre les personnes concer­nées. Les condi­tions d’un consen­te­ment valable selon l’art. 6 par. 1 let. a RGPD n’étant pas réunies, le consen­te­ment expli­cite de l’art. 9 par. 2 let. a RGPD n’est pas un fonde­ment envisageable.

L’art. 9 par. 2 let. e RGPD prévoit que l’on peut trai­ter les données sensibles rendues mani­fes­te­ment publiques par la personne concer­née. Ce fonde­ment ne peut pas non pas non plus trou­ver appli­ca­tion en l’espèce, dans la mesure où les données acces­sibles aux membres d’une commu­nauté (qui plus est à un nombre limité de membres en pratique) ne sont géné­ra­le­ment pas consi­dé­rées comme des données rendues mani­fes­te­ment publiques.

Cette déci­sion consti­tue selon nous le reflet d’une volonté poli­tique tendant à la prise de conscience par les acteurs impor­tants du numé­rique quant à leur rôle ainsi qu’à leur respon­sa­bi­li­sa­tion, en termes de protec­tion des données et d’espace numé­rique sûr.

 



Proposition de citation : Pauline Meyer, Application de rencontre et communication illicite de données à des fins publicitaires, 18 février 2022 in www.swissprivacy.law/126


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Le RGPD s’oppose-t-il à l’obligation de publier sur Internet une déclaration d’intérêts afin de lutter contre…
  • Que signifie pour une personne concernée de rendre ses données personnelles « manifestement publiques » ?
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law