Une dizaine d’applications viennent d’être mises en cause par les autorités norvégiennes, suite à une enquête d’une société de cybersécurité. Ces applis collectent et revendent à des tiers vos données personnelles, y compris des données sensibles comme votre orientation sexuelle. Sans votre consentement. En première ligne : les applications de rencontre Tinder, Grindr et OK Cupid.
Un coup de pied dans la fourmilière. Voilà l’impression que donne l’enquête, menée une entreprise de sécurité missionnée par le conseil norvégien des consommateurs : elle porte sur le traitement des données personnelles d’une dizaine d’applications populaires, mais qui utilisent des données sensibles – suivi de cycle menstruel, aide à la prière, rencontres amoureuses…
Des données personnelles « hors de contrôle » sur une dizaine d’applications populaires
Le résultat est vraiment inquiétant. Toutes ces applications communiquent une partie de ces données à des entreprises tierces, sans avoir demandé un consentement éclairé à cette transmission.
Les entreprises en question sont, pour la plupart, des data-brokers, qui compilent des bases de données de consommateurs, les plus larges et précises possibles, et les revendent ensuite à des entreprises de marketing, d’estimations des risques ou de prévention à la fraude. Parmi ces data-brokers se retrouvent, ô surprise, des filiales de Google, Facebook ou Twitter.
Cette pratique de transmission des données est parfaitement contraire au Règlement Général sur la Protection des Données (RGPD), entré en vigueur voici un an et demi dans l’Union Européenne – et qui prévoit de lourdes sanctions pour les contrevenants. L’amende peut atteindre jusqu’à 4% du chiffre d’affaire de l’entreprise.
Grindr attaqué en justice par le conseil norvégien des consommateurs
Parmi les applications analysées, les trois mauvais élèves sont des applications de rencontre, en l’occurrence Tinder, Grindr et OK Cupid, qui transmettent notamment des informations sur l’orientation sexuelle de ses utilisateurs.
Mais la palme revient sans conteste à Grindr, pour la précision des informations qu’elle transmet, et le nombre de société à laquelle elle les transmet. Pour une appli plébiscité par la communauté LGBTQ+, cela fait tâche. D’autant que Grindr a déjà été épinglé pour avoir partagé le statut sérologique de certains utilisateurs.
En conséquence, le conseil norvégien des consommateurs a décidé d’attaquer Grindr en justice pour violation du RGPD. Du coté des utilisateurs, a priori, aucune des applications mises en cause n’a modifié sa politique de traitement de données depuis la publication de l’enquête.
Vous trouverez dans le tableau ci-dessus la liste des applications concernées et des données transmises (le tableau est issu de Fobrukerradet, la société de cybersécurité responsable de l’étude, reproduit dans l’article de nos collègues de Numerama sur cette affaire).