L’autorité norvégienne de protection des données a sanctionné la société américaine Grindr, le 13 décembre 2021, pour avoir collecté et divulgué des données à caractère personnel sur ses utilisateurs, sans avoir obtenu un consentement conforme aux exigences du RGPD.

L’application destinée à la communauté LGBTQ affichait aux utilisateurs, au moment de l’inscription, une longue[1] politique de confidentialité puis demandait aux utilisateurs de l’accepter. La possibilité « d’annuler » cette politique de confidentialité était aussi proposée aux utilisateurs, mais cela avait pour conséquence de suspendre le processus d’inscription.

Une fois les utilisateurs inscrits, Grindr collectait un certain nombre de données[2] et les vendait à des sociétés spécialisées dans la publicité[3].

La Commission norvégienne a rappelé à l’éditeur que des données à caractère personnel peuvent être collectées uniquement si les personnes donnent leur consentement et à condition que ce consentement soit la manifestation d’une volonté « libre, spécifique, éclairée et univoque »[4].

L’éditeur obtenait bien le consentement de ses utilisateurs, mais dans de mauvaises conditions, car :

  • l’utilisateur ne pouvait pas donner son consentement seulement à certains traitements, mais uniquement à tous les traitements[5] ;
  • l’utilisateur ne pouvait pas refuser certains traitements[6], notamment le partage des données avec des annonceurs ;
  • l’utilisateur ne pouvait retirer son consentement sans subir de préjudices[7] ;
  • l’utilisateur ne pouvait pas retirer son consentement aussi facilement que de le donner[8] ;
  • l’utilisateur ne pouvait pas aisément comprendre la nature des traitements réalisés et ses conséquences[9] ;

La société Grindr a indiqué qu’elle proposait une option payante[10] pour les utilisateurs qui ne souhaitaient consentir au partage de leurs données personnelles, option qui permettait aussi d’accéder à des fonctionnalités additionnelles. La Commission a cependant noté que l’utilisateur devait accepter tous les traitements, y compris le partage de ses données avec les annonceurs, avant d’avoir la possibilité de souscrire à cette option. Elle a considéré, par conséquent, que cette option ne pouvait être une alternative valide au refus ou au retrait du consentement.

En collectant des données personnelles sur ses utilisateurs et en divulguant les données auprès de sociétés tierces, la Commission a, par conséquent, estimé que la société avait divulgué les données à caractère personnel des utilisateurs de manière illicite.

Fait aggravant pour Grindr, la Commission a même estimé qu’en divulguant des informations sur ses utilisateurs, la société révélait des informations sur la vie ou l’orientation sexuelle de la personne. La Commission a indiqué que le fait de révéler ce type d’informations pouvait menacer les droits et les libertés des personnes, particulièrement les personnes amenées à voyager dans certains pays où les minorités sexuelles sont victimes de persécutions.

Enfin, la Commission a considéré que ces manquements étaient intentionnels et qu’ils ont permis à la société de réaliser des bénéfices non négligeables.

Une amende de 65 millions NOK (~6,3 millions d’euros) a été prononcée contre la société Grindr, ce qui représenterait environ 5 % du chiffre d’affaires estimé[11] de la société.

Lire :

Note : la décision concerne uniquement la période du 20 juillet 2018, date d’entrée en application du RGPD, au 7 avril 2020, date à laquelle la société Grindr a modifié son module de consentement. Le nouveau module de consentement n’a pas été étudié par la Commission.

Note 2 : la société Grindr ne disposant pas de bureau dans un des pays de l’Union européenne, l’autorité norvégienne représente et défend uniquement les personnes norvégiennes et non pas l’ensemble des européens.

Notes et références

  1. La politique de confidentialité de Grindr était de 3 793 mots.
  2. L’application Grindr collectait les données suivantes sur ses utilisateurs : l’identifiant publicitaire du système d’exploitation de l’appareil, l’adresse IP, l’âge et le sexe déclaré de la personne, ses coordonnées GPS et des informations sur son appareil (version de l’OS, modèle, résolution de l’écran, etc).
  3. Les données collectées par Grindr étaient transmises aux sociétés MoPub (appartenant à Twitter), Xandr (ex-AppNexus), OpenX, AdColony, and Smaato. Ces sociétés pouvaient ensuite transmettre les données à d’autres sociétés. Twitter transmettait, par exemple, les données à ses 160 « partenaires ».
  4. Le RGPD définit le consentement de la personne comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (source : RGPD, article 4-11).
  5. Le RGPD considère qu’un consentement n’a pas « été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données » (source : RGPD, considérant 43). Le RGPD indique également que « le traitement n’est licite que si […] la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques » (source : RGPD, article 6-1-a). Grindr proposait uniquement d’accepter tous les traitements, en listant 25 finalités différentes.
  6. Le RGPD considère que « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix » (source : RGPD, considérant 42).
  7. Le RGPD considère que « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice » (source : RGPD, considérant 42).
  8. Le RGPD demande qu’il soit « aussi simple de retirer que de donner son consentement » (source : RGPD, article 7-3). Grindr proposait de donner son consentement en deux clics, alors que le retirer demandait de lire la longue politique de confidentialité pour comprendre qu’il fallait désactiver certains réglages dans les paramètres de l’appareil. Grindr proposait également de supprimer son compte ou de basculer vers l’option payante, mais ces options ne sont pas considérées comme aussi simples que les deux clics initiaux.
  9. Le RGPD demande que la demande de consentement soit « présentée sous une forme qui la distingue clairement [des] autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples » si la « déclaration écrite concerne également d’autres questions » (source : RGPD, article 7-2). Grindr proposait uniquement un seul bouton d’acception.
  10. Grindr propose une option payante à ses utilisateurs contre la somme de $30 par mois.
  11. Le chiffre d’affaires de la société Grindr n’est pas communiqué publiquement, mais son chiffre d’affaires a été estimé plus de $100 millions pour un résultat net de $31 millions en 2019 (source : Kunlun Technology).

Sigles et acronymes

  • RGPD : Règlement Général sur la Protection des Données