Le réseau de rencontres Grindr a été condamné à une amende de 6,3 millions d'euros par le régulateur norvégien Datatilsynet pour avoir partagé des données avec des annonceurs sans le consentement des utilisateurs. L'amende, infligée le 13 décembre, intervient après que le Datatilsynet a déposé une plainte contre Grindr en 2020, arguant que le service partageait les données des utilisateurs avec des tiers sans consentement. Les données divulguées regroupent non seulement des informations personnelles, mais aussi la position géographique des utilisateurs et des informations sur l'appareil qu'ils utilisent. Selon Tobias Judin, qui dirige l'Autorité norvégienne de protection des données, les utilisateurs devaient accepter les conditions d'utilisation des données de Grindr pour accéder à l'application, ce qui rendait impossible un consentement approprié.Avec plus de 6 millions d’utilisateurs dans 192 pays, Grindr est la plus grande application de réseau social au monde pour la communauté LGBT.
En 2020, le Conseil norvégien des consommateurs a déposé une plainte contre Grindr, alléguant le partage illégal de données personnelles avec des tiers à des fins de marketing. Les données partagées étaient la localisation GPS, l'adresse IP, l'identifiant publicitaire, l'âge, le sexe et le fait que l'utilisateur en question était sur Grindr. Les utilisateurs pourraient être identifiés grâce aux données partagées, et les destinataires pourraient potentiellement partager davantage les données.
L'autorité norvégienne de protection des données a conclu que le consentement était la base juridique applicable dans cette affaire, mais que les prétendus consentements collectés par Grindr pour partager des données personnelles avec des partenaires publicitaires n'étaient pas valides, a indiqué Tobias Judin, chef du département international de l'Autorité norvégienne de protection des données.
Les utilisateurs ont été contraints d'accepter la politique de confidentialité dans son intégralité pour utiliser l'application, et il ne leur a pas été demandé spécifiquement s'ils souhaitaient consentir au partage de leurs données avec des tiers à des fins de publicité comportementale. De plus, les informations sur le partage des données personnelles n'ont pas été correctement communiquées aux utilisateurs. Nous considérons que cela était contraire aux exigences du RGPD pour un consentement valide.
« Notre enquête s'est concentrée sur le mécanisme de consentement mis en place à partir du RGPD qui est devenu applicable en Norvège en juillet 2018, et jusqu'en avril 2020, date à laquelle Grindr a changé la façon dont l'application demande le consentement. Nous n'avons pas évalué si le mécanisme de consentement actuel de Grindr est conforme au RGPD », a noté Judin.
MoPub, la société de publicité mobile de Twitter, ferait partie de ces agences de publicité à avoir bénéficié de cette manne d'informations.
Tobias Judin a estimé à juste titre qu'il s'agit de faits très graves qui pourraient mettre en danger les utilisateurs. Ce dernier a fait savoir que les pratiques d'exploration de données de Grindr violaient non seulement les droits européens à la vie privée, mais auraient également pu mettre les utilisateurs en danger dans des pays, comme le Qatar et le Pakistan, où des actes sexuels consentis entre personnes de même sexe sont illégaux.
« Nous essayons de faire comprendre à ces applications et services que cette approche de ne pas informer les utilisateurs, ne pas obtenir un consentement valide pour partager leurs données, est totalement inacceptable », a rajouté Judin.
La plainte s'ajoute aux problèmes juridiques de l'industrie de la publicité comportementale – qui continuent de s'accumuler dans la région.
Et Judin de noter :
« Nous considérons que les données révélant le fait qu'une personne est un utilisateur de Grindr indiquent fortement qu'elle appartient à une minorité sexuelle. Les données concernant l'orientation sexuelle d'une personne constituent des données de catégorie spéciale qui méritent une protection particulière en vertu du RGPD. Comme les consentements collectés par Grindr n'étaient pas valides, Grindr ne pouvait pas légalement partager ces données.
L'application Grind est utilisée pour se connecter avec d'autres utilisateurs de la communauté LGBTQ+, et nous sommes conscients que de nombreux utilisateurs choisissent de ne pas utiliser leur nom complet ou de télécharger une photo de leur visage afin d'être discrets. Néanmoins, leurs données personnelles et le fait qu'ils étaient sur Grindr ont été divulgués à un nombre inconnu de tiers à des fins de marketing, sans donner aux utilisateurs des informations accessibles ou un véritable choix.
Bien qu'elles ne soient pas définies comme des catégories spéciales de données personnelles en soi, les données de localisation sont sensibles et personnelles. Le fait que Grindr ait également partagé ces données illégalement ajoute à la gravité de l'affaire ».
Une amende pourtant revue à la baisse
Datatilsynet avait initialement infligé à Grindr une amende d'environ 10 millions d'euros à la suite d'une décision initiale en janvier 2021, mais a ensuite révisé ce montant à la baisse après avoir examiné les chiffres d'affaires de Grindr. Malgré le réexamen du montant, la Norvège considère que l'infraction de Grindr est « grave », probablement parce que les données collectées, y compris le sexe, relèvent des règles RGPD de l'UE.
L'autorité a expliqué que la sanction plus faible tient compte du fait que l'entreprise a en réalité un chiffre d'affaires inférieur à « l'estimation approximative » sur laquelle elle s'était fondée en janvier lors de l'imposition de l'amende préliminaire. Elle a également déclaré que la réduction tenait compte des mesures mises en œuvre par Grindr depuis le dépôt de la plainte dans le but de mettre son traitement des données personnelles en conformité avec les exigences du RGPD.
La décision de l'autorité note que l'amende finale est d'environ 32 % du montant maximum possible. Et comme le RGPD autorise des amendes allant jusqu'à 20 millions d'euros ou jusqu'à 4 % du chiffre d'affaires mondial total d'une entité au cours de l'année précédente, selon le montant le plus élevé, cela suggère que le chiffre d'affaires annuel de l'application basée aux États-Unis ne dépasse pas les 20 millions d'euros.
L'autorité qualifie le montant de l'amende de « proportionné à la fois à la gravité de l'infraction et à la situation financière de Grindr », affirmant qu'elle « n'excède pas ce qui est nécessaire pour atteindre les objectifs poursuivis par le RGPD en l'espèce ».
La plainte a mis près d'un an pour parvenir à une décision finale en raison, au moins en partie, du fait que Grindr a demandé à plusieurs reprises des prolongations de délais.
Il convient également de noter que cette enquête s'est limitée au processus utilisé par Grindr pour obtenir le consentement au moment de la plainte – en 2019 et jusqu'en avril 2020 (quand Grindr est passé à une méthode différente). Ainsi, la légalité de la méthode actuelle de Grindr pour obtenir le consentement n'a pas été étudiée.
« Une amende administrative doit être effective, proportionnée et dissuasive.
Nous avons infligé une amende d'un montant élevé à Grindr car nous considérons que les infractions au RGPD dans ce cas sont graves. Des milliers d'utilisateurs en Norvège ont vu leurs données personnelles partagées illégalement pour les intérêts commerciaux de Grindr, y compris la localisation GPS et le fait que les utilisateurs en question étaient sur Grindr. Les modèles commerciaux basés sur la publicité comportementale sont courants dans l'économie numérique, et il est impératif que les amendes administratives pour les violations du RGPD soient dissuasives afin de favoriser le respect de la loi.
Cependant, nous avons constaté qu'une réduction de l'amende de 100 000 000 NOK notifiée précédemment est justifiée. Depuis notre notification préalable, nous avons reçu de plus amples informations de Grindr sur la taille et la situation financière de l'entreprise, et nous avons également considéré les changements apportés par Grindr dans le but de remédier aux lacunes de leur ancienne plateforme de gestion des consentements comme étant un facteur atténuant.
Depuis la notification préalable, le Conseil norvégien des consommateurs a fait valoir que Grindr avait enfreint des dispositions supplémentaires du RGPD. Le Conseil des consommateurs a également demandé à l'Autorité norvégienne de protection des données d'ordonner à Grindr d'effacer les données personnelles traitées illégalement dans la mesure où Grindr continue de traiter ces données. Par conséquent, nous n'excluons pas que d'autres ordres soient émis par la DPA norvégienne à un stade ultérieur ».
Bien que la décision n'inclue aucune exigence selon laquelle Grindr (ou ses partenaires publicitaires) supprime les données utilisateur obtenues illégalement, l'autorité estime que cela pourrait changer à l'avenir. « Notre décision n'inclut aucune exigence d'effacement pour le moment, mais nous avons également indiqué clairement que d'autres décisions pourraient être prises à une date ultérieure si nous le jugeons nécessaire », a déclaré Tobias Judin. « En d'autres termes : nous n'excluons aucune possibilité de poursuite de l'application à ce stade. »
Elle a également confirmé que son enquête contre les partenaires publicitaires de Grindr (à qui il a envoyé les données des utilisateurs) est en cours.
Les différentes réactions
Finn Myrstad, qui dirige l'organisation responsable de la plainte initiale, a déclaré que l'amende « envoie un signal fort à toutes les entreprises impliquées dans la surveillance commerciale. Le partage de données personnelles sans base légale a de graves répercussions. Nous appelons le secteur de la publicité numérique à apporter des changements fondamentaux pour respecter les droits des consommateurs. »
Dans une déclaration, Grindr a fortement repoussé : « Nous ne sommes pas du tout d'accord avec le raisonnement de Datatilsynet, qui concerne les pratiques de consentement historiques d'il y a des années, et non, nos pratiques de consentement actuelles ou notre politique de confidentialité. Même si Datatilsynet a abaissé l'amende par rapport à sa lettre précédente, Datatilsynet s'appuie sur une série de conclusions erronées, introduit de nombreuses perspectives juridiques non testées, et l'amende proposée est donc toujours totalement disproportionnée par rapport à ces conclusions erronées. »
Grindr a trois semaines pour lancer un appel formel de la décision.
Source : Datatilsynet
Et vous ?
Qu’en pensez-vous ? Pensez-vous que cette amende soit assez pour dissuader cette entreprise de continuer cette pratique ?Voir aussi :
Confidentialité : l'API Grindr continue d'exposer l'emplacement de ses utilisateurs, ainsi que d'autres informations de profil y compris le statut VIH RGPD : une enquête montre comment des applications populaires comme Tinder ou Grindr, envoient des données hautement personnelles à des milliers de partenaires publicitaires Des apps de rencontre ont laissé 845 Go de données accessibles au public, parmi lesquelles des photos explicites, des captures d'écran de conversations, des noms et autres