Les mises en demeure adressées cet été par la CNIL à 8 sites de rencontres français et le récent scandale “Ashley Madison” portant sur le piratage et la diffusion de la liste de ses utilisateurs sont l’occasion de s’interroger sur les réflexes à adopter pour protéger ses données personnelles sur les sites de rencontres.

Les mises en demeure adressées par la CNIL cet été à plusieurs sites de rencontres français – pour certains de premier plan – ont révélé que les utilisateurs de certains sites ne bénéficiaient pas du niveau minimum d’information prévu par la loi “Informatique et Libertés” et pointé différents manquements des éditeurs en matière de déclaration, de sécurité ou encore de durée de conservation des données personnelles.

Or, compte tenu du nombre important de données personnelles que l’internaute est susceptible de communiquer à l’éditeur d’un site de rencontres, et du caractère bien souvent “sensible” de celles-ci (informations sur son orientation sexuelle mais aussi, pour certains sites, croyances religieuses ou opinions politiques), le premier réflexe de l’internaute qui souhaite rejoindre un site de rencontres doit être de vérifier que l’éditeur respecte bien son obligation d’informations et fait apparaître, en particulier sur le formulaire d’inscription, l’identité du responsable du traitement, les finalités du traitement, le caractère obligatoire ou facultatif des réponses à fournir, l’identité du ou des destinataires des données collectées, leur éventuel transfert à l’étranger, mais également la possibilité pour l’utilisateur d’exercer un droit d’accès, d’opposition, de rectification ou de suppression des données personnelles le concernant.

La lecture des “Conditions Générales d’Utilisation” du site est également vivement recommandée, avant de les accepter.

L’exercice pouvant se montrer fastidieux, la lecture peut se limiter à vérifier s’il est répondu aux questions suivantes :

  Le fichier du site a-t-il fait l’objet d’une déclaration auprès de la CNIL ?

  L’éditeur et/ou le responsable du traitement est-il situé en France ou dans l’Union Européenne ?

  Une adresse de contact est-elle proposée ?

  Les profils, annonces et/ou informations échangées sur le site sont-ils visibles par de simples visiteurs ?

  Existe-t-il une charte de bonne conduite ? Un service de modération ? La possibilité de signaler des comportements ou contenus litigieux ?

  Les données personnelles sont-elles transmises à des tiers ? Est-ce à des fins commerciales ? Peut-on s’y opposer ?

  Les CGU contiennent-elles des informations et des engagements sur la sécurité des données, sur la localisation des serveurs ? Les pages du site sont-elles HTTPS ?

  Une durée de conservation des données est-elle prévue ? Quelle est cette durée ?

  Les CGU contiennent-elles des explications sur les cookies utilisés par le site ?

Les réponses apportées par les CGU à - idéalement - chacune de ces questions permettront à l’utilisateur d’avoir l’assurance que le support contractuel qui le lie avec l’éditeur contient un minimum d’engagements de la part de ce dernier en terme de protection des données personnelles, et que les conditions d’utilisation de ses données personnelles lui conviennent effectivement.

Ce sont les mêmes questions qui pourront ensuite utilement guider l’utilisateur du site dans l’usage qu’il en fera, par exemple en utilisant certaines fonctionnalités, en répondant à des questionnaires proposés par le site pour compléter son profil ou encore en acceptant d’être “géolocalisé”.

Enfin, lorsque l’utilisateur décidera de ne plus utiliser ce service, la meilleure solution pour “garder la main” sur ses données personnelles consistera à solliciter la fermeture du compte auprès de l’éditeur, ainsi que la suppression de l’ensemble des données traitées et stockées – et non attendre une simple “désactivation”. Certains éditeurs prévoient qu’une telle suppression interviendra passé un certain délai, pour leur permettre de répondre à d’éventuelles demandes d’informations ou réquisitions judiciaires ; cette conservation pour une durée supplémentaire paraît acceptable à condition d’être raisonnable.

François-Xavier Boulin Counsel - BCTG Avocats