"Grindr" se verra infliger une amende de près de 10 millions d'euros suite à la plainte de GDPR. L'application de rencontres gay partageait illégalement les données sensibles de millions d'utilisateurs.
En janvier 2020, le Conseil norvégien des consommateurs et l'ONG européenne de protection de la vie privée noyb.eu ont déposé trois plaintes stratégiques contre Grindr et plusieurs sociétés de technologie de l'information pour partage illégal des données des utilisateurs. Comme beaucoup d'autres applications, Grindr a partagé des données personnelles (comme des données de localisation ou le fait que quelqu'un utilise Grindr) avec des centaines de tiers potentiels à des fins publicitaires
Aujourd'hui, l'Autorité norvégienne de protection des données a fait droit aux plaintes, confirmant que Grindr n'avait pas reçu le consentement valable des utilisateurs dans le cadre d'une notification préalable. L'Autorité impose une amende de 100 millions de NOK (9,63 euros (9,63 millions d'euros ou 11,69 millions de dollars) à Grindr. Une amende énorme, car Grindr n'a réalisé qu'un bénéfice de 31 millions de dollars en 2019 - dont un tiers a disparu.
Historique de l'affaire Le 14 janvier 2020, le Conseil norvégien des consommateurs (Forbrukerrådet; NCC) a déposé trois plaintes stratégiques de GDPR en coopération avec le NEB. Les plaintes ont été déposées auprès de l'autorité norvégienne de protection des données (DPA) contre l'application de rencontres gay Grindr et cinq sociétés de technologie de l'information qui recevaient des données personnelles via l'application : le MoPub de Twitter, l'AppNexus d'AT&T (maintenant Xandr), OpenX, AdColony et Smaato
Grindr envoyait directement et indirectement des données très personnelles à des centaines de partenaires publicitaires potentiels Le site Rapport "Hors de contrôle par le NCC a décrit en détail comment un grand nombre de tiers reçoivent constamment des données personnelles sur les activités de Grindr utilisateurs. Chaque fois que un utilisateur ouvre Grindr, des informations comme l'emplacement actuel ou le fait qu'une personne utilise Grindr sont diffusées aux annonceurs. Ces informations sont également utilisées pour créer des profils complets sur les utilisateurs, qui peuvent être utilisés à des fins de publicité ciblée et autres
Le consentement doit être sans ambiguïtéLes informations sur les droits de l'homme, les droits de l'homme informés, spécifiques et donnés librement La DPA norvégienne a estimé que le prétendu "consentement" sur lequel Grindr a tenté de se fonder n'était pas valable. Les utilisateurs n'étaient pas correctement informés, et le consentement n'était pas non plus suffisamment spécifique, car les utilisateurs devaient accepter l'ensemble de la politique de confidentialité et non une opération de traitement spécifique, telle que le partage des données avec d'autres sociétés.
Le consentement doit également être donné librement. La DPA a souligné que les utilisateurs devraient avoir un choix réel de ne pas donner leur consentement sans conséquences négatives. Grindr a conditionné l'utilisation de l'application au consentement au partage des données ou au paiement d'un abonnement
Le message est simple : "à prendre ou à laisser" n'est pas un consentement. Si vous vous basez sur un "consentement" illégal, vous êtes passible d'une lourde amende. Cela ne concerne pas seulement Grindr, mais aussi de nombreux sites web et applications" - Ala Krinickytė, avocat spécialisé dans la protection des données à noyb
"Cela ne se limite pas à fixer des limites à Grindr, mais établit des exigences légales strictes pour toute une industrie qui profite de la collecte et du partage d'informations sur nos préférences, notre localisation, nos achats, notre santé physique et mentale, notre orientation sexuelle et nos opinions politiques"Finn Myrstad, directeur de la politique numérique au sein du Conseil norvégien des consommateurs (NCC).
Grindr doit contrôler les "partenaires" externes De plus, la DPA norvégienne a conclu que "Grindr n'a pas contrôlé et pris la responsabilité" de leur partage de données avec des tiers. Grindr a partagé des données avec des centaines de tierces parties potentielles, en incluant des codes de suivi dans son application. Elle a ensuite aveuglément fait confiance à ces sociétés de technologie de l'information pour qu'elles se conforment à un signal de "non-participation" envoyé aux destinataires des données. La DPA a noté que les entreprises pouvaient facilement ignorer ce signal et continuer à traiter les données personnelles des utilisateurs. L'absence de tout contrôle factuel et de responsabilité sur le partage des données des utilisateurs de Grindr n'est pas conforme au principe de responsabilité de l'article 5(2) GDPR. De nombreuses entreprises du secteur utilisent un tel signal, principalement le cadre TCF de l'Interactive Advertising Bureau (IAB).
"Les entreprises ne peuvent pas se contenter d'inclure des logiciels externes dans leurs produits et espérer ensuite qu'ils respectent la loi. Grindr a inclus le code de suivi des partenaires externes et a transmis les données des utilisateurs à des centaines de tiers potentiels - il doit maintenant aussi s'assurer que ces "partenaires" respectent la loi" - Ala Krinickytė, avocat spécialisé dans la protection des données à noyb
Grindr : Les utilisateurs peuvent être "bi-curieux", mais pas gays ? Le GDPR protège spécialement les informations sur l'orientation sexuelle. Grindr estime cependant que ces protections ne s'appliquent pas à ses utilisateurs, car l'utilisation de Grindr ne révélerait pas l'orientation sexuelle de ses clients. La société a fait valoir que les utilisateurs peuvent être hétéros ou "bi-curieux" et utiliser quand même l'application. La DPA norvégienne n'a pas retenu cet argument d'une application qui s'identifie comme étant "exclusivement destinée à la communauté gay/bi" . L'argument douteux supplémentaire de Grindr selon lequel les utilisateurs ont rendu leur orientation sexuelle "manifestement publique" et qu'elle n'est donc pas protégée a également été rejeté par la DPA.
"Une application pour la communauté gay, qui soutient que les protections spéciales pour exactement cette communauté ne s'appliquent pas à eux, est plutôt remarquable. Je ne suis pas sûr que les avocats de Grindr aient vraiment réfléchi à cette question" - Max Schrems, président honoraire de noyb
Une objection réussie est peu probable. La DPA norvégienne a émis une "notification préalable" après avoir entendu Grindr dans le cadre d'une procédure. Grindr peut toujours s'opposer à la décision dans un délai de 21 jours, qui sera réexaminé par le DPA. Toutefois, il est peu probable que le résultat puisse être modifié de manière significative. Toutefois, d'autres amendes pourraient être infligées car Grindr s'appuie désormais sur un nouveau système de consentement et sur un prétendu "intérêt légitime" à utiliser des données sans le consentement de l'utilisateur. Ceci est en contradiction avec la décision de la DPA norvégienne, car elle a explicitement déclaré que "toute divulgation importante ... à des fins de marketing devrait être basée sur le consentement de la personneconcernée".
"L'affaire est claire du point de vue factuel et juridique. Nous n'attendons pas de succès objection de Grindr. Toutefois, d'autres amendes pourraient être infligées à Grindr, qui a récemment fait valoir un "intérêt légitime" illégal à partager les données des utilisateurs avec des tiers, même sans leur consentement. Grindr pourrait être lié pour un second tour." - Ala Krinickytė, avocat spécialisé dans la protection des données à noyb
Remerciements
- Le projet a été mené par le Conseil norvégien des consommateurs
- Les tests techniques ont été effectués par la société de sécurité mnémonique.
- Les recherches sur l'industrie des technologies de l'information et les courtiers de données spécifiques ont été effectuées avec l'aide du chercheur Wolfie Christl de Cracked Labs
- Un audit supplémentaire de l'application Grindr a été effectué par le chercheur Zach Edwards de MetaX.
- L'analyse juridique et les plaintes formelles ont été rédigées avec l'aide de N&B