La CNIL norvégienne a sanctionné l’application de rencontre Grindr, plus grand réseau mondial de rencontre pour les personnes LGBTQ+ [1], à une amende de 6,5 millions d’euros pour violation du RGPD.

Grindr est accusé d’avoir partagé illégalement à des annonceurs publicitaires des données personnelles, dont l’orientation sexuelle des utilisateurs.

1/ Consentement invalide.

L’autorité norvégienne a considéré que le consentement devait être la base légale applicable aux traitements mis en œuvre par Grindr et que celui recueilli pour le partage des données à des annonceurs n’était pas valide.

En effet, les utilisateurs étaient contraints d’accepter en totalité la politique de confidentialité pour utiliser l’application, aucun consentement spécifique n’étaient demandé pour consentir à ce partage à des annonceurs tiers pour de la publicité comportementale.

Les utilisateurs ne pouvaient donc pas s’opposer à un partage des données aux annonceurs.

Grindr indiquait qu’une option payante était disponible pour les utilisateurs qui ne souhaitaient consentir au partage de leurs données personnelles et accéder à des fonctionnalités additionnelles. Cependant, l’utilisateur devait accepter tous les traitements, y compris le partage de ses données avec les annonceurs, avant d’avoir la possibilité de souscrire à cette option. Celle-ci ne pouvait être une alternative valide au refus ou au retrait du consentement.

2/Le caractère implicite des données sensibles.

Les données sensibles sont des informations révélant l’origine raciale ou ethnique, les opinions politiques, religieuses ou philosophiques, les données de santé, génétiques et biométriques ainsi que celles concernant la vie et l’orientation sexuelle.

Or, il est possible de déduire des informations sensibles à partir de données apparemment anodines. Par exemple :
 en 2018, l’organisation norvégienne des consommateurs, s’alarmait de l’utilisation des données GPS par le moteur de recherche Google permettant de retracer les déplacements quotidiens des internautes et pouvant implicitement identifier les croyances religieuses, les opinions politiques et l’orientation sexuelle ;
 en 2019, la Poste autrichienne a été sanctionnée pour avoir déduit à partir d’une adresse postale et en fonction du quartier de résidence, une opinion politique supposée.

L’autorité norvégienne a tenu un raisonnement similaire dans le cas de Grindr. Ainsi, par principe, ces données qualifiées de « sensible », ne peuvent pas faire l’objet d’un traitement, sauf consentement valide de la personne concernée.

En l’espèce, l’autorité norvégienne considère que le consentement donné n’était pas valide : donc le transfert de ces données sensibles à des tiers fut réalisé en violation du RGPD.

3/Que faut-il retenir de la décision de l’autorité norvégienne ?

 L’information concernant l’inscription au réseau et l’utilisation de l’application accolée au pseudonyme de l’utilisateur est une donnée sensible, révélant implicitement l’orientation sexuelle de la personne concernée.
 L’indication de son orientation sexuelle au sein d’une communauté ne rend pas cette information manifestement publique, indépendamment du nombre d’utilisateurs de l’application. Par conséquent, Grindr a partagé ces informations sensibles illégalement.
 Les modalités de recueil du consentement : pour rappel, le consentement doit être spécifique, libre, éclairé, univoque et retiré aussi facilement que donné.
 Enfin, Datatilsynet rappelle que les atteintes à la vie privée et les discriminations peuvent être une conséquence concrète d’un partage illégal et non maîtrisé de données sensibles, le monde digital et le monde physique n’étant pas deux espaces hermétiques.

4/La qualification de donnée « sensible » par déduction : une analyse supplémentaire à faire impérativement pour votre conformité.

Une multiplication des plaintes à l’encontre de plateformes réalisant des traitements susceptibles de déduire des données sensibles des utilisateurs.

De nombreuses plaintes ont été déposées auprès des régulateurs nationaux à l’encontre de plateformes, en invoquant des collectes déloyales des données permettant de dresser des portraits très détaillés de leurs utilisateurs jusqu’à en déduire des données sensibles.

Par exemple :
 En 2018, sept saisines ont eu lieu contre Google, considérant que les fonctionnalités « Historique des positions » et « Activités Web et applications » intégrées à tous les comptes Google, pourraient permettre de déduire les opinions politiques et les orientations sexuelles des utilisateurs, sans que cela ne soit spécifiquement indiqués dans les conditions générales d’utilisation.
 En 2021, la plateforme Doctolib a reconnu l’utilisation de cookies permettant de transmettre de nombreuses métadonnées, tels que les mots clés recherchés ou la spécialité médicale recherchée par les utilisateurs allemands, à des prestataires américains (Cloudinary, Amazon Web Services et Cloudflare), permettant de déduire des données de santé liées à un utilisateur en les recoupant avec son adresse IP. Doctolib a depuis stoppé toute utilisation de ces cookies et supprimé les données collectées.
 Enfin, la CNIL vient d’ouvrir une enquête concernant l’application « Elyze » qui aide ses utilisateurs à se positionner politiquement en identifiant la tendance politique à laquelle ils se rapprochent le plus en faisant des propositions politiques, puis en affichant les candidats qui correspondent le plus à l’utilisateur en fonction propositions validées.

5/ Nos recommandations : pensez à poser les bonnes questions en amont.

 Quelles informations sont traitées ?
 Comment qualifier ces informations ?
 L’usage qui est fait des données personnelles avec l’application permet-il d’en déduire une qualification en « donnée sensible » ?
 Ai-je mis en place les mesures appropriées traiter toutes ces données y compris si elles sont qualifiée de « sensible » uniquement au titre d’une déduction de l’usage qui est fait avec l’application ?

Claudia Weber, avocat fondateur et Jérôme Dalmont, avocat collaborateur | ITLAW Avocats ITLAW Avocats - www.itlaw.fr