Données privées : l'application de rencontre Grindr a partagé le statut sérologique de ses utilisateurs

à des entreprises tierces

Après Facebook et le scandale provoqué par l’exploitation des données des utilisateurs du réseau social à des fins politiques par Cambridge Analytica, voici venu un autre scandale qui concerne cette fois-ci Grindr.

Grindr est une application de rencontres destinée aux hommes homosexuels, bisexuels ou bicurieux disponible sur iOS, BlackBerry OS et Android. Cette application permet de discuter et d'échanger des photos avec des hommes géolocalisés autour de soi.

Le site américain BuzzFeed News a révélé ce lundi 2 avril que l’application, « qui compte plus de 3,6 millions d’utilisateurs actifs à travers le monde », aurait transmis le statut VIH des personnes inscrites sur ce réseau à deux entreprises : Apptimize et Localytics. Ces deux sociétés, spécialisées dans l’amélioration d’applications, recevaient donc de nombreuses informations concernant les profils inscrits sur Grindr, qui permet aux utilisateurs de renseigner si leur test du VIH est positif, négatif, ou s’ils sont sous PrEP (une pilule préventive contre les risques de contractions du VIH). Avec le numéro de téléphone ou l’e-mail de l’utilisateur, ce dernier devient facilement identifiable.

« Grindr est un lieu permettant une liberté de parole assez unique au sujet du sida. Savoir que ces données sont ensuite partagées avec des tierces parties sans que vous ayez reçu une notification particulière, au risque de mettre en danger votre santé et votre sécurité, c’est une énorme rupture des conditions d’utilisation que nous n’aurions jamais cru voir de la part d’une entreprise qui se présente comme défenseuse de la communauté queer [altersexuelle] », juge James Krellenstein, d’Act Up New York, cité par BuzzFeed.

Parce que les informations sur le VIH sont envoyées avec les données GPS, les numéros de téléphone et les e-mails des utilisateurs, elles pourraient identifier des utilisateurs spécifiques et leur statut VIH, selon Antoine Pultier, chercheur à l'association norvégienne SINTEF.

« Le statut VIH est lié à toutes les autres informations. C'est le problème principal » , a déclaré Pultier à BuzzFeed News. « Je pense que c'est l'incompétence de certains développeurs qui envoient tout, y compris le statut VIH ». Il faut rappeler que le statut VIH peut mettre en danger l’emploi d’un utilisateur ou lui faire courir un risque dans certains pays.


En France, l’association de lutte contre le sida Aides a appelé mardi au boycott total de l’application, tandis que se répandait, sur Twitter, le mot-clé #DeleteGrindr (« supprimez Grindr »). « Les entreprises qui font leur beurre sur la sexualité de leurs clients se doivent a minima d’être exemplaires. Exemplaires sur la protection des données de leurs clients ET sur les enjeux évidents de prévention et de santé publique », accuse Aides, qui « invite les utilisateurs actuels à changer d’application », dans un communiqué publié mardi.

L'analyse de SINTEF a également montré que Grindr partageait la position GPS précise de ses utilisateurs et d’autres informations comme le statut relationnel ou l'appartenance ethnique et l'identité téléphonique à d'autres agences de publicité tierces. Et cette dernière information, contrairement aux données sur le VIH, était parfois partagée en « texte clair », qui peut donc être facilement piraté.

« Cela permet à tous ceux qui dirigent le réseau ou qui peuvent surveiller le réseau – comme des pirates informatiques ou des criminels ayant un peu de connaissances technologiques, votre fournisseur de services Internet et même votre gouvernement – de voir où vous vous trouvez », a estimé Cooper Quintin de l'Electronic Frontier Foundation.

« Lorsque vous combinez cela avec une application comme Grindr qui est principalement destinée aux personnes qui peuvent être à risque – en particulier en fonction du pays où elles vivent ou en fonction de l'homophobie de la population locale –, c'est une pratique particulièrement mauvaise qui peut mettre leur sécurité des utilisateurs à risque », a-t-il ajouté.


La réaction de l’entreprise

Dans une publication sur Tumblr, Scott Chen, le CTO de l’application, a reconnu que « la révélation d’un statut VIH peut être un sujet sensible ». Il évoque notamment les « inquiétudes » suscitées par Apptimize et Localytis, deux éditeurs de logiciels tiers chargés de tester l’application Grindr, qui en reçoivent des données à cette fin.

« Dans un effort pour éliminer toute désinformation, nous estimons nécessaire d'énoncer ceci :

• Grindr n'a jamais, et ne vendra jamais, à des tiers ou à des annonceurs, d'informations personnellement identifiables sur les utilisateurs – en particulier des informations sur le statut VIH ou la date du dernier test ;
• en tant que pratique standard de l'industrie, Grindr travaille avec des fournisseurs réputés pour tester et optimiser la manière dont nous déployons notre plateforme. Ces fournisseurs sont soumis à des conditions contractuelles strictes qui garantissent le plus haut niveau de confidentialité, de sécurité des données et de confidentialité des utilisateurs ;
• lorsque vous travaillez avec ces plateformes, nous limitons les informations partagées sauf si nécessaire ou approprié. Parfois, ces données peuvent inclure des données de localisation ou des données provenant de champs de statut VIH, mais ces informations sont toujours transmises de manière sécurisée avec cryptage, et des politiques de conservation des données sont en place pour protéger davantage les renseignements personnels de nos utilisateurs ;
• il est important de se rappeler que Grindr est un forum public. Nous donnons aux utilisateurs la possibilité d'afficher des informations sur eux-mêmes, y compris le statut VIH et la date du dernier test, et nous indiquons clairement dans notre politique de confidentialité que si vous choisissez d'inclure cette information dans votre profil, l'information sera également publique. Par conséquent, vous devez examiner attentivement les informations à inclure dans votre profil.

Lundi soir, Grindr a déclaré qu'il cesserait de partager les informations sur le statut VIH avec d'autres entreprises.

Source : BuzzFeed, AIDES

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Facebook frôle un énième scandale dans le sillage de l'affaire Cambridge Analytica à cause du mémo controversé de l'un de ses vice-présidents
Enregistrement des données d'appels et de SMS : Facebook frôle un nouveau scandale, alors que la firme peine à calmer la tempête Cambridge Analytica
Facebook : un tribunal allemand déclare illégale l'utilisation des données privées, après une plainte d'un défenseur des droits des consommateurs