Schlussbericht vom 3. März 2023 mit Ergänzungen vom 17. Mai 2023 des EDÖB in Sachen Once Dating AG gemäss Art. 29 DSG

Le PFPDT est saisi en décembre 2020 car l’application de rencontre Once ne permet­trait pas aux utili­sa­teurs de suppri­mer leurs comptes via l’application et que la respon­sable du trai­te­ment ne réagi­rait pas aux demandes de suppres­sion. Le PFPDT ouvre une enquête pour exami­ner les trai­te­ments de données de l’entreprise Once Dating AG rela­tifs à ces ques­tions. Il analyse égale­ment des points rela­tifs à la sécu­rité des données, à la sous-trai­tance, ou aux diffé­rentes infor­ma­tions sont trans­mises aux utili­sa­teurs de l’application.

Il n’est pas contes­table que l’application traite des profils de person­na­lité et des données sensibles, plus préci­sé­ment des données rela­tives à la sphère intime ainsi qu’aux opinions et acti­vi­tés syndi­cales, philo­so­phiques ou poli­tiques (art. 3 let. c ch. 1 et 2 LPD), ce qui implique des obli­ga­tions renfor­cées pour la respon­sable du traitement.

Dans le cadre de son enquête, le PFPDT examine le prin­cipe de trans­pa­rence et son pendant, le devoir d’information (art. 4 al. 4 ; art. 14 LPD), qui importent tant pour l’enregistrement, la sous-trai­tance que la suppres­sion des données. Les utili­sa­teurs de l’application doivent en effet notam­ment savoir quelles données sont trai­tées, pour quelles fina­li­tés et sous quelles condi­tions. Au sujet des données sensibles et des profils de person­na­lité, les utili­sa­teurs devraient égale­ment savoir si elles sont commu­ni­quées à des tiers.

L’entreprise Once Dating AG dispose de condi­tions géné­rales, d’une direc­tive sur la protec­tion des données et d’une FAQ. Les condi­tions géné­rales prévalent sur la direc­tive et cette dernière prime sur la FAQ. Certaines inco­hé­rences et contra­dic­tions existent entre la direc­tive de protec­tion des données et des condi­tions géné­rales, ce qui rend la prise de connais­sance des infor­ma­tions compli­quée pour les utilisateurs.

Par exemple, la direc­tive prévoit que la commu­ni­ca­tion de l’adresse cour­riel est obli­ga­toire si l’utilisateur souhaite rece­voir la news­let­ter de l’application, contrai­re­ment aux condi­tions géné­rales qui prévoient que, lors de l’inscription à l’application, le membre accepte de rece­voir la news­let­ter. Par ailleurs, la LPD n’est mention­née nulle part et la direc­tive de protec­tion des données ne précise pas, en matière de commu­ni­ca­tion de données, les pres­ta­taires de services qui traitent des données person­nelles à leurs propres fins, à l’instar de Google, Facebook et PayPal.

Concernant la possi­bi­lité de suppri­mer son compte, les utili­sa­teurs peuvent à tout moment le désac­ti­ver, ce qui déprio­rise leur profil et le rend invi­sible. Un tel procédé n’équivaut cepen­dant pas à une suppres­sion de compte. Bien qu’il soit possible de deman­der la suppres­sion du compte par cour­riel, par voie postale ou par une option de canal de contact in-app (dont l’accessibilité pour­rait être amélio­rée) et que ces proces­sus soient trai­tés rapi­de­ment, le PFPDT estime que les infor­ma­tions trans­mises aux utili­sa­teurs à ce sujet ne sont pas uniformes entre les diffé­rents docu­ments de protec­tion des données, ni centra­li­sées ou suffi­sam­ment claires.

Lorsque des comptes sont désac­ti­vés, l’application doit limi­ter le temps de conser­va­tion des données pour ne pas violer le prin­cipe de la bonne foi et le prin­cipe de propor­tion­na­lité (art. 4 al. 2 LPD). En outre, Once Dating AG doit dispo­ser d’un proces­sus proac­tif pour que les données stockées chez ses sous-trai­tants soient égale­ment suppri­mées. En agis­sant de façon contraire, elle contre­vient notam­ment aux prin­cipes de propor­tion­na­lité et de bonne foi (art. 4 al. 1 et 2 LPD) dès lors que ses manda­taires conti­nuent de trai­ter pour leur propre compte des données dont l’utilisateur a expres­sé­ment demandé la suppres­sion ou qui ne sont plus nécessaires.

Concernant par ailleurs ses pres­ta­taires de services, la respon­sable du trai­te­ment Once Dating AG doit, confor­mé­ment à l’art. 10a LPD, les sélec­tion­ner soigneu­se­ment, les instruire et les surveiller de façon à ce qu’ils respectent la loi. Le PFPDT n’analysant pas la rela­tion exacte entre Once Dating AG et ses pres­ta­taires, il abou­tit tout de même à la conclu­sion selon laquelle la respon­sable du trai­te­ment ne les contrôle pas de manière adéquate et ne prend pas de mesures parti­cu­lières pour garan­tir que les données trans­fé­rées par ceux-ci vers des pays tiers restent proté­gées adéquatement.

Au niveau de la sécu­rité des données, l’application met en place certaines mesures (telles que la possi­bi­lité de se connec­ter via Facebook ou le proces­sus de véri­fi­ca­tion par SMS) permet­tant de rendre plus diffi­cile la créa­tion de faux profils. Il s’agit de procé­dures de véri­fi­ca­tion habi­tuelles en ligne. De plus, des tests de vulné­ra­bi­li­tés sont effec­tués en interne (mesure jugée comme néces­saire par le PFPDT). En revanche, le PFPDT observe qu’aucun audit ou test d’intrusion n’a été réalisé par des audi­teurs externes, ce qui revient pour lui à une viola­tion du prin­cipe de sécu­rité (art. 7 LPD).

Finalement, le PFPDT estime que le consen­te­ment des usagers n’est pas valable et les viola­tions de la LPD occa­sion­nées ne sont pas justi­fiées. En effet, l’information des utili­sa­teurs est lacu­naire, notam­ment au sujet des commu­ni­ca­tions à l’étranger qui ne repré­sentent pas des cas ponc­tuels. En outre, la suppres­sion équi­vaut juste­ment à une révo­ca­tion du consen­te­ment. Once Dating AG ne peut pas non plus, sans clari­fi­ca­tions, justi­fier les atteintes causées à la person­na­lité par un inté­rêt privé prépondérant.

Pour remé­dier à ces diffé­rentes viola­tions, le PFPDT recom­mande premiè­re­ment, en matière de trans­pa­rence, une infor­ma­tion des utili­sa­teurs claire et dans un langage compré­hen­sible quant aux trai­te­ments de données effec­tués, aux fina­li­tés et aux desti­na­taires auxquels elles sont trans­mises. Les diffé­rents instru­ments d’information doivent être cohé­rents et le fait que les données sont trai­tées sur la base du consen­te­ment ou d’un inté­rêt privé prépon­dé­rant doit ressor­tir clairement.

Deuxièmement et en lien avec les utili­sa­teurs inac­tifs, l’application doit infor­mer de façon claire, centra­li­sée et uniforme au sujet de toutes les possi­bi­li­tés de suppres­sion possibles, adap­ter les systèmes et s’abstenir de préci­ser qu’elle peut refu­ser les demandes d’utilisateurs « mani­fes­te­ment infon­dées » dans ce contexte, afin d’éviter de dissua­der ces derniers d’exercer leurs droits. En outre, elle doit désac­ti­ver auto­ma­ti­que­ment les comptes après 30 jours d’inactivité et propo­ser de suppri­mer les données person­nelles, qui doivent dans tous les cas être suppri­mées après un an d’inactivité. La suppres­sion ou l’anonymisation doit être garan­tie égale­ment chez les sous-traitants.

Troisièmement, et en rela­tion avec la sous-trai­tance, le PFPDT rappelle à Once Dating AG de s’assurer que les pres­ta­taires de services respectent les exigences de l’art. 6 LPD pour les trans­ferts à l’étranger et qu’ils ne traitent pas de données à leurs propres fins sans motifs justificatifs.

Quatrièmement, la sécu­rité des données doit être respec­tée par des examens régu­liers des mesures en place et par des tests d’intrusion et d’audits externes.

Les appli­ca­tions de rencontre traitent de nombreuses données sensibles et procèdent à du profi­lage et, par consé­quent, sont soumises à des exigences accrues. Pourtant, Once n’est pas la première à se faire reca­drer par une auto­rité de protec­tion des données (cf. www​.swiss​pri​vacy​.law/​1​26/) et il est à espé­rer que les pratiques s’améliorent, pour des raisons de risques géné­raux rela­tifs à la vie intime comme pour des raisons de risques plus spéci­fiques, exis­tant par exemple dans certaines régions, dépen­dant de critères tels que l’orientation sexuelle.