Données sensibles divulguées par Grindr à des entreprises tierces : l’appli de rencontre a-t-elle enfreint la loi ?

C’est le site Buzzfeed qui a lancé l’alerte, ce lundi 2 avril, après que Grindr ait été mise en cause par des chercheurs norvégiens de l’organisation Sintef, pour avoir laissé des entreprises – notamment Apptimize ou Localytics – accéder à des informations privées, dont le « statut sérologique », de ses quelques 3,6 millions d’abonnés.

Un sujet qui peut être « sensible » et susciter des « inquiétudes », a reconnu Scott Chen, directeur technique de Grindr, précisant toutefois que l’appli était d’abord un forum public. « Nous donnons l’opportunité aux utilisateurs de publier des informations sur eux-mêmes, y compris leur statut concernant le VIH et la date de leur dernier test, et nous écrivons très clairement dans notre politique de vie privée que si vous choisissez d’inclure cette information dans votre profil, elle deviendra publique ».

Plusieurs associations ont appelé au boycott avec le hashtag #DeleteGrindr

Me Étienne Deshoulières, avocat spécialisé sur les questions LGBT et les questions de nouvelles technologies, a répondu à nos questions sur ce Grindr-Gate.

Stop Homophobie : Est-ce étonnant que Grindr partage les données de ses utilisateurs ?

Etienne Deshoulières : Il ne s’agit pas véritablement d’un partage. Il s’agit plutôt d’un transfert vers un autre système informatique sur lesquels sont installés des logiciels qui vont pouvoir analyser les données des utilisateurs de Grindr. Ces logiciels, ce sont Apptimize, qui permet de tester la réaction des utilisateurs suite à des modifications sur une appli, et Localytics, qui permet notamment d’afficher de la publicité ciblée. Ce type de transmission de données est extrêmement courant. Dans la très grande majorité des cas, lorsqu’un éditeur d’appli ou de site web propose un service en ligne, il transfère certaines données personnelles à des fins d’optimisation de la navigation et de ciblage publicitaire. L’acteur majeur dans ce domaine pour le web est Google avec ses services Google Analytics et Google Adwords.

SH : Mais Grindr n’est-il pas soumis au droit français et en tant que tel obligé de respecter les données personnelles des utilisateurs ?

ED : Non, c’est bien là le problème. Les agissements de Grindr seraient susceptibles d’enfreindre deux types de règles : les règles relatives aux données personnelles et les règles relatives au stockage des données de santé. Mais dans ces deux cas, le droit international nous dit que c’est le droit américain qui est applicable, car Grindr est une société américaine basée en Californie. Grindr ne peut donc pas être condamné sur le fondement du droit français.
Cependant, les choses vont changer très prochainement. À partir du 21 mai 2018, le Règlement européen sur les données personnelles (RGPD) va entrer en vigueur. À compter du mois prochain, c’est le droit européen qui sera applicable à Grindr pour tous les traitements de données personnelles des Européens, peu importe que le siège social du réseau social soit situé en Californie.

SH : Mais n’est-ce pas quand même illégal de transférer des données relatives au statut sérologique et à l’origine ethnique ?

ED : Pour le moment, jusqu’au 21 mai 2018, la question se règle en droit américain. Dans le cas de Grindr, la SINTEF, qui est la plus grande organisation indépendante de recherche scientifique en Scandinavie, nous a appris que Grindr partageait la position GPS, la “tribe” (c’est-à-dire la sous-culture gay auquel l’utilisateur s’identifie), aux préférences sexuelles, le statut relationnel, l’origine ethnique et l’identifiant du téléphone, et tout cela sans anonymiser ni crypter les données lors de la transmission. Cela soulève deux problèmes, concernant la sécurisation du transfert et la transmission de données sensibles.
Au niveau de sécurisation, Grindr s’engage, dans sa politique de confidentialité à mettre en œuvre des efforts raisonnables pour protéger les données personnelles (« Grindr uses reasonable efforts to protect your Personal Data »). Grindr a donc violé son engagement en ne respectant pas sa propre politique de confidentialité, ce que les tribunaux américains ont déjà condamné sur le fondement du The Federal Trade Commission Act. Le défaut de sécurisation du transfert de données serait donc a priori condamnable en droit américain. Grindr a enfreint la loi en transmettant des données de manière non sécurisée à des tiers. En revanche, concernant les données personnelles sensibles, telles que le statut VIH ou l’origine ethnique, leur transmission ne constitue pas a priori une violation du droit américain ou de la politique de confidentialité de Grindr, qui indique très clairement que les données des utilisateurs peuvent être transmises à des tiers à des fins d’analyse de la navigation et de ciblage publicitaire.

SH : Est-ce que la situation va changer avec l’entrée en vigueur du nouveau Règlement européen sur la protection des données ?

ED : Oui, le droit européen sera plus strict que le droit américain. Le Règlement européen sur la protection des données, que Grindr sera contraint de respecter à compter du 21 mai 2018, condamne tant le défaut de sécurisation que le partage de données sensibles. C’est ce qu’on appelle le « principe de minimisation » : les transferts de données personnelles à des tiers doivent toujours être adéquats, pertinents et limités à l’objectif poursuivi. Or, dans le cas de Grindr, la communication à des tiers chargés d’analyse de navigation et de ciblage publicitaire de données relatives au statut sérologique, aux préférences sexuelles et à l’ethnicité n’est ni adéquate, ni pertinente, ni limitée à l’objectif poursuivi. Le droit européen interdit donc à Grindr de communiquer ces données à des tiers, quand bien même la transmission serait sécurisée.