Le responsable de la protection de la vie privée a sanctionné l’exploitant d’un site de rencontre en ligne bien connu. Il n’est pas clair comment il utilise les données sensibles et les informations sur l’orientation sexuelle des clients.
Les clients s’inscrivent, créent un profil, remplissent tous les champs : nationalité, orientation sexuelle, âge, position, e-mail, date de naissance, ville de résidence. Aucune de ces informations n’est cependant protégée. C’est pourquoi le Garant de la protection des données personnelles a infligé une amende de 200 000 euros à l’exploitant d’un site de rencontre en ligne bien connu (le nom n’a pas été rendu public). L’application de rencontres est accusée d’avoir violé les données personnelles d’environ 1 million d’abonnés. En effet, aucune indication sur le traitement des données et les informations nécessaires à l’utilisation des services offerts n’apparaît dans les conditions d’utilisation de la plateforme. De plus, il n’y a pas de transparence ni d’indication de la possibilité pour les intéressés d’exercer les droits prévus par la législation sur la vie privée.
Le Garant a expliqué qu’il manquait également une politique de confidentialité sur les délais de conservation des données traitées. La plateforme se contentait de supprimer les comptes inactifs ou les demandes d’inscription qui n’avaient pas abouti. Elle n’avait pas non plus nommé un délégué à la protection des données (DPD) ni préparé d’évaluation d’impact (DPIA) requise par le Règlement européen. Outre l’amende, l’autorité a également demandé de prendre une série de mesures pour protéger les clients de l’application de rencontres et renforcer la sécurité, notamment en mettant en place des mesures de chiffrement ou de pseudonymisation des données sensibles, des systèmes anti-intrusion ou des fichiers journaux avec des horodatages.
L’inspection du Garant
Pour s’inscrire sur la plateforme, il est nécessaire de fournir de nombreuses données et photos. Les applications demandent souvent d’ajouter autant d’informations que possible pour améliorer le profil, telles que des descriptions personnelles, l’orientation sexuelle, ses hobbies et passions ou des détails sur la personnalité. Les applications collectent ainsi des informations à caractère personnel ou général qui permettent au système de générer des pourcentages d’affinité entre les utilisateurs, puis de signaler et de mettre en relation les profils ayant le plus de chances d’avoir des intérêts en commun.
Le nom du site sanctionné n’a pas été rendu public, le Garant a seulement ajouté que l’application compte 5 millions d’abonnés dans le monde entier, dont près de 10 000 avec un abonnement payant actif. C’est la première fois que le Garant de la protection des données personnelles prend une mesure à l’égard d’un site de rencontres.
Comment protéger ses données personnelles
Pour protéger ses données personnelles, il est toujours bon de lire attentivement l’information sur le traitement des données personnelles pour comprendre quelles données seront collectées, combien de temps elles seront conservées et avec qui elles peuvent être partagées. Il est également recommandé d’éviter de lier le profil de l’application de rencontres à ceux des réseaux sociaux et de stocker les coordonnées d’accès aux cartes de crédit et aux systèmes de paiement.
La règle d’or est ensuite de définir des mots de passe sécurisés, qui devraient être changés régulièrement. De plus, il est utile de vérifier les paramètres de confidentialité et de désactiver les fonctions non essentielles, comme l’accès à l’appareil photo, au microphone ou à la géolocalisation.