Happn sest récemment faite pointer du doigt par lassociation UFC-Que-Choisir qui sappuie sur les conclusions dune étude menée par une société norvégienne ayant relevé des pratiques prétendument peu respectueuses de la vie privée de ses membres. Dans un communiqué de presse du 2 février 2016, lassociation a annoncé avoir saisi la CNIL dans lespoir quelle sempare du sujet et effectue un contrôle des traitements opérés par Happn.
Les faits reprochés et la probabilité dun contrôle de la part de la CNIL
Si lon en croit les allégations du rapport dont lUFC-Que-Choisir sest fait lécho, Happn transfèrerait certaines données personnelles de ses membres à la société Upsight, spécialisée dans le marketing et lanalyse de données et basée aux Etats Unis. Cette société étant localisée dans un pays tiers noffrant pas un « niveau de protection adéquat » des données personnelles au sens de la Loi informatique et libertés, lUFC-Que-Choisir émet des craintes sur la nature des données transférées, leur finalité et remet en cause la licéité du transfert en particulier depuis lannulation du Safe Harbor. LUFC-Que-Choisir dénonce également la présence dun cookie installé sur le smartphone dun membre qui survivrait à la désinstallation de lapplication et continuerait de communiquer des informations à la société Happn.
Ces faits, sils étaient avérés, sont passibles de sanctions pénales conformément aux articles 226-16 et suivants du Code pénal qui prévoient des peines demprisonnement et damendes pouvant atteindre 1 500 000 euros lorsque linfraction est commise par une personne morale.
Les sites et applications de rencontre préoccupent la CNIL depuis un certain temps, plusieurs sites (Meetic, Attractive World, Adopte un mec, Easyflirt ) ayant récemment fait lobjet dune vague de contrôles qui sest soldée par lenvoi de plusieurs mises en demeure rendues publiques en juillet 2015.
La probabilité que la CNIL sempare du cas Happn et lance un contrôle apparait donc objectivement assez élevée. Il ne serait pas non plus étonnant que la CNIL étende son contrôle à dautres applications qui recourent à des moyens de géolocalisation (Tinder, Ahead, LikeLunch )
Si un contrôle était diligenté, les agents de la CNIL seraient habilités à obtenir dHappn des extractions de bases de données, la copie des contrats conclus entre Happn et ses sous-traitants (en France et à létranger), en particulier la copie des contrats de transfert de données vers des sociétés situées dans des pays tiers. Les agents de la CNIL sont également habilités à vérifier, sur place, la durée de conservation des données, le processus dhabilitation des employés dHappn ayant accès aux données des membres, les mesures de sécurité en vigueur (sécurisation des bases de données, sécurisation des accès physiques et logiques aux serveurs, vérification des normes de sécurité applicables à lhébergeur). Les constatations effectuées par les agents font alors lobjet dun procès-verbal.
Ces éléments de preuve pourraient permettre aux agents de la CNIL de vérifier si les allégations de lUFC-Que- Choisir sont avérées ou non et plus généralement de sassurer que les traitements des données personnelles des membres de lapplication Happn sont bien conformes à la Loi informatique et libertés. Au vu des traitements opérés par ce type dapplication, qui intègrent un système de géolocalisation des membres, quels seraient les sujets les plus susceptibles dintéresser la CNIL ?
La licéité des transferts de données vers des tiers situés dans des pays nassurant pas un niveau de protection adéquat
Il sagit là du principal grief soulevé par lassociation UFC-Que-Choisir. Pour quun transfert de données personnelles vers un pays tiers soit licite au regard de la Loi informatique et libertés, le membre doit dabord avoir été informé de la possibilité dun transfert de ses données personnelles et consenti expressément à celui-ci. En lespèce, les CGU dHappn prévoient que « lors de son inscription, le Membre donne son consentement exprès pour que ses données soient hébergées sur des serveurs hors de lUnion Européenne, aux États-Unis pour les besoins de fonctionnement du service ». Cependant, la validation des CGU ne constitue pas une étape impérative du processus dinscription à Happn et de création de compte. De plus, les mentions légales du site Happn ne précisent pas les coordonnées de lhébergeur. La CNIL pourrait donc être amenée à considérer que le membre na pas été informé sur la possibilité dun transfert de ses données à des destinataires situés hors Union Européenne et que le consentement du membre à ce transfert nest pas caractérisé.
Léditeur de lapplication devrait également justifier auprès de la CNIL avoir encadré le transfert de données vers son sous-traitant situé dans un pays tiers (lhébergeur), par exemple en signant avec ce dernier un contrat suivant le modèle de clauses contractuelles type adopté par la Commission européenne et dont lobjet consiste à sécuriser les transferts de données.
Par ailleurs, si comme lindique lUFC-Que-Choisir, des données personnelles sont effectivement transmises par Happn à la société Upsight basée aux Etats-Unis, léditeur devrait justifier avoir informé ses membres et recueilli leur accord. Les CGU dHappn nen font pas expressément mention (version du 3 février 2016). La question de lencadrement du transfert se pose dans les mêmes termes que pour le transfert de données vers lhébergeur : la CNIL vérifiera si des clauses contractuelles types ont été signées ou non entre les parties. Lon notera au passage que la société Upsight ne figure pas parmi la liste des sociétés ayant adhéré au Safe Harbor, de sorte que linvalidation du Safe Harbor est sans incidence en lespèce sur la licéité du transfert.
Toutefois, il est également envisageable quHappn se contente de ne transmettre à Upsight que des données anonymisées. Happn indique en effet « contracter avec une liste exhaustive de sociétés tierces, authentifiées et fiables, afin détablir, à partir de données entièrement anonymisées des statistiques sur les volumes de fréquentation et/ou lutilisation de lApplication ( ) ». Si les données transmises à Upsight ont effectivement été anonymisées, et ce, de manière irréversible, le transfert de ces données ne serait alors pas assujetti à la Loi informatique et libertés.
La vérification de lusage et des données remontées par les cookies
Conformément aux recommandations de la CNIL du 5 décembre 2013 en la matière, léditeur devrait recueillir le consentement préalable de ses membres en les informant de manière visible, complète et intelligible sur la nature des cookies installés, leur finalité (publicité, mesure daudience, boutons de partage des réseaux sociaux), et la possibilité de sopposer à linstallation de ces cookies. La CNIL préconise que le consentement donné à linstallation de cookies soit renouvelé par lutilisateur, au moins tous les 13 mois.
Lors des opérations de contrôle diligentées en 2014 auprès de plusieurs sites de rencontre, la CNIL avait relevé plusieurs manquements résultant dune absence dinformation des membres et dune durée excessive de conservation des données enregistrées par les cookies. Normalement, les cookies ne devraient plus remonter dinformations postérieurement à la désactivation dun compte ou la désinstallation de lapplication.
La collecte et le traitement des données de géolocalisation doivent être proportionnés au but recherché
Grâce à la géolocalisation, l’application Happn permet de parcourir les photos de personnes inscrites sur Happn qui se trouvent à proximité ou que lon a croisées dans le passé, dans le but détablir des rencontres virtuelles ou réelles.
La géolocalisation dun membre suppose une démarche active du membre : lactivation de loption de géolocalisation sur son smartphone participe au processus dinscription et est nécessaire au bon fonctionnement de lapplication (cest dailleurs lun des principaux intérêts de celle-ci !). Le membre peut ensuite revenir sur son consentement et désactiver la fonction de géolocalisation.
Léditeur indique dans ses CGU quil se défend de reconstituer « les déplacements de ses membres et rappelle ne répertorier que les points de croisement. Ni les services de Happn dans son ensemble ni ses salariés et responsables du traitement des données personnelles ne connaissent litinéraire exact du membre. Ces points de croisement ne permettent pas de connaître litinéraire du membre ( ) ».
La CNIL étant particulièrement vigilante sur les traitements qui sont susceptibles de conduire à la surveillance des déplacements des individus, il ne fait aucun doute quelle sassurera que les déclarations faites dans les CGU correspondent bien à la réalité.
Linformation et le consentement des membres à la collecte de données sensibles
Happn collecte certaines données sensibles (orientation sexuelle notamment, origines ethnique, appartenance religieuse ). Lors des contrôles opérés sur dautres sites de rencontre, la CNIL avait considéré que les personnes nétaient pas suffisamment alertées sur les risques associés à la communication de telles données et navaient pas fourni un consentement exprès, via une case à cocher, au traitement de ces données. La CNIL considère en effet que « le consentement ne peut être exprès que sil est donné en toute connaissance de cause cest-à-dire après la délivrance dune information adéquate sur lusage qui sera fait des données personnelles, indépendamment de la possibilité laissée à linternaute de ne pas renseigner ses données ». Si les CGU dHappn sensibilisent les membres sur le sujet, le caractère exprès du consentement pourrait apparaître contestable aux yeux de la CNIL dans la mesure où il ne figure que dans les CGU.
La durée de conservation des données doit enfin être raisonnable
Dans le cas dHappn, les données dun membre sont conservées pendant toute la durée nécessaire à lutilisation de son compte et pendant une année à compter de sa suppression. Cette durée apparaît raisonnable et justifiée, notamment au regard de lobligation de conservation des données de connexion qui pèse sur les hébergeurs en application de larticle 6, II de la Loi pour la Confiance dans lEconomie Numérique du 21 juin 2004. Il serait souhaitable de prévoir la désactivation du compte si celui-ci reste inactif pendant une longue période (1 an par exemple). En cas de contrôle, la CNIL vérifiera que ces durées de conservation sont respectées et que les données des membres désinscrits depuis plus dun an ont bien été supprimées.
Conclusion
Face à lessor des sites de rencontres, quils soient personnels ou professionnels, il est légitime de sinterroger sur lexploitation qui peut être faite de la masse de données collectées auprès de millions dutilisateurs. Les possibilités quoffrent les outils de géolocalisation intégrés sont également une source dinquiétude et nécessitent dêtre encadrées, en vue dassurer un minimum de protection de la vie privée et la sécurité des membres. Pour autant, certaines recommandations de la CNIL se heurtent à des contraintes pratiques : linformation claire, loyale et exhaustive et le recueil de consentement exprès pour la collecte de données sensibles ou lautorisation de transfert de données hors Union Européenne nest pas nécessairement compatible avec la simplicité et la convivialité des interfaces de ce type dapplication. Il faut alors nécessairement faire quelques arbitrages entre des choix techniques et ergonomiques et lapplication stricte de la Loi informatique et libertés, sans sacrifier les fondamentaux (collecte loyale, pour une finalité précise et une durée de conservation limitée).
Olivia Luzi
Avocat à la Cour, Associé
Cabinet Féral-Schuhl / Sainte-Marie