Meetic, marmitelove.com, gaucherencontre.com, Attractive World ou encore 9 autres sites internet de rencontres ont font l’objet depuis le mardi 28 juillet 2015 de contrôles sévères de la Cnil (Commission nationale de l’informatique et des libertés). Ainsi, la Cnil a pu émettre des recommandations afin d’assurer la sécurité des données collectées par les sites de rencontres.

La CNIL avait inscrit les pratiques des sites de rencontres à son programme de contrôle depuis 2014 après avoir constaté le nombre important des utilisateurs de ces sites et la quantité de données sensibles traitées par ces sites. Nombres d’entre eux se sont mis en conformité à ce jour.

Quel constat sur les manquements des sites internet de rencontre ?

En moyenne, la Cnil a constaté huit manquements à la loi informatique et libertés, et ce, pour tous les sites internet contrôlés :

• Absence de recueil du consentement exprès lors de la collecte des données « interdites » telles que l’appartenance religieuse.
• Absence d’information des utilisateurs sur ce qui est fait de leurs données
• Absence de suppression des données (conservation des données des utilisateurs qui n’ont plus de compte, conservation des données bancaires…)
• Protection de l’accès aux fiches des membres et leur possible paramétrage
• Absence de formulaire de contact en ligne en cas de réclamations d’utilisateurs
• Failles de sécurité
• Transfert des données en dehors de l’Union Européenne sans garantie
• Défaut de formalités à la Cnil

Or ces manquements font courir un risque financier important pour les propriétaires de ces sites internet. Les amendes encourues vont de 150.000 et 1.500.000 euros d’amende selon les infractions, les sites de rencontre ont donc tout intérêt à se mettre en conformité avec la règlementation informatique et libertés.

Mais quelles mesures les sites internet doivent prendre ?

La Cnil recommande notamment aux sites internet de rencontre de :

• Rédiger des conditions générales en langue française, de façon claire et compréhensible.
• Recueillir le consentement exprès de l’utilisateur pour la collecte d’informations sensibles. En effet la plupart des sites de rencontre collectent des données relatives à la vie et aux pratiques sexuelles, aux origines ethniques, aux convictions et pratiques religieuses, aux opinions politiques. Or, il est important que les internautes aient conscience de la protection attachée à ces données qui révèlent des éléments-clés de leur intimité. La Cnil recommande ainsi l’insertion d’une case à cocher par l’utilisateur au moment de son inscription. Pour exemple la clause suivante : « Les informations relatives à vos convictions politiques, croyances et pratiques religieuses, orientations et pratiques sexuelles, collectées pour l’inscription à ce site de rencontres, constituent des informations sensibles. J’accepte que ces données soient traitées par le site XXX ».
• Respect du droit à l’oubli : procéder à la suppression automatique des données des membres ayant demandé leur désinscription ou ayant cessé d’utiliser leurs comptes depuis une longue durée.
• Procéder à la suppression des informations bancaires après le paiement effectué lors de l’inscription.
• Informer correctement les internautes (1) de l’identité du responsable de traitement (2) de la finalité du traitement des données (3) du caractère obligatoire ou non des réponses et la conséquence en l’absence de réponse (4) des destinataires des données (5) de leurs droits (accès, suppression, rectification), (6) des conditions dans lesquelles des cookies sont déposés sur leur ordinateur, et (7) des transferts de données effectués.
• Ne pas effectuer de transferts de données dans des pays n’offrant pas une protection aux données à caractère personnel équivalente à celle de l’Union européenne, sauf autorisation de la Cnil ou de la Commission européenne.
• Proposer aux membres de paramétrer leur profil, pour empêcher les non-inscrits d’accéder aux profils des utilisateurs, sauf autorisation des utilisateurs.
• Procéder à des demandes d’autorisation auprès de la CNIL notamment en cas d’interconnexions de fichiers.
• Fournir un formulaire de contact en ligne en cas de réclamations d’utilisateurs.
• Renforcer la sécurité des systèmes informatiques afin d’éviter toute faille, notamment par la mise en place de protocole https sur l’ensemble des pages de ses sites internet et de mots de passe suffisamment robustes. ATTENTION : à compter de l’entrée en vigueur du Règlement européen sur la protection des données à caractère personnel en 2018, toute faille de sécurité devra faire l’objet d’une notification détaillée à la CNIL et aux personnes concernées.

Conclusion : des mesures dans l’intérêt de tous
Par la confidentialité et la sensibilité des informations qu’ils collectent, les sites de rencontre constituent des cibles privilégiées pour les hackers. En effet, ces données constituent une excellente base pour procéder à du chantage financier, particulièrement dans le cas de sites spécialisés dans les rencontres adultères. Ces bases de données représentent aussi une mine d’or pour envoyer du spam en grande quantité, notamment lorsque les internautes utilisent un même mot de passe pour plusieurs sites en ligne. Les hackers peuvent alors, en utilisant les données de ces listes, pirater les boîtes électroniques et avoir accès aux comptes Paypal ou même bancaires de ces internautes. La CNIL a alors publié une série de conseils à destination des utilisateurs afin de protéger leur intimité. Parmi eux, utiliser un mot de passe différent de son compte mail ou encore utiliser un pseudonyme.

Yaël Cohen-Hadria Avocate www.ych-avocats.fr [->yael.cohenhadria@cabinet-davocats.com]