Plainte NCC & noyb GDPR : "Grindr" condamné à une amende de 6,3 millions d'euros pour partage illégal de données

15 Déc 2021

CCN ET noyb Plainte GDPR : "Grindr" condamné à une amende de 6,3 millions d'euros pour partage illégal de données

Aujourd'hui, l'autorité norvégienne de protection des données a infligé une amende de 65 millions de couronnes norvégiennes (6,34 millions d'euros ou 7,17 millions de dollars) à Grindr. L'application de rencontres LGBTQI n'avait pas reçu de consentement valable de la part des utilisateurs, mais avait néanmoins partagé des données personnelles sensibles.

Contexte de l'affaire Le 14 janvier 2020, le Conseil norvégien des consommateurs (Forbrukerrådet; NCC) a déposé trois plaintes stratégiques GDPR en coopération avec noyb. Les plaintes ont été déposées auprès de l'autorité norvégienne de protection des données (DPA) contre l'application de rencontres homosexuelles Grindr et cinq sociétés adtech qui recevaient des données personnelles par le biais de l'application : MoPub de Twitter, AppNexus d'AT&T (maintenant Xandr)OpenX, AdColony et Smaato

Grindr envoyait des données personnelles sensibles à des centaines de partenaires publicitaires potentiels. Le site rapport "Out of Control" (hors de contrôle) du NCC décrit en détail comment un grand nombre de tiers recevaient constamment des données personnelles sur les utilisateurs de Grindr, comme le fait qu'ils utilisent Grindr et leurs données de localisation

Le 26 janvier 2021, l'autorité norvégienne a annoncé son intention d'imposer une amende de 100 Mio NOK (environ 10 Mio EUR) à Grindr pour la violation des articles 4(11), 6, 7 et 9(2)(a) du GDPR dans un "projet de décision". L'amende de 65 millions de couronnes norvégiennes infligée aujourd'hui dans la décision finale a finalement été ajustée sur la base de la décision de Grindrajustée en fonction des revenus réels de Grindr et du fait qu'il a pris des mesures pour réviser sa précédente plateforme de gestion des consentements

"Cela envoie un signal fort à toutes les entreprises impliquées dans la surveillance commerciale. Le partage de données personnelles sans base légale a de graves répercussions. Nous demandons au secteur de la publicité numérique de procéder à des changements fondamentaux pour respecter les droits des consommateurs consommateurs" Finn Myrstad, directeur de la politique numérique au sein du Conseil norvégien des consommateurs (NCC).

Le consentement doit être sans ambiguïté, informé, spécifique et donné librement L'autorité norvégienne de protection des consommateurs a décidé que le prétendu "consentement" sur lequel Grindr a tenté de s'appuyer n'était pas valable. Les utilisateurs n'étaient pas correctement informés et le consentement n'était pas suffisamment spécifique : les utilisateurs devaient accepter l'ensemble de la politique de confidentialité et non un traitement spécifique, tel que le partage des données avec d'autres entreprises
En outre, l'autorité de protection des données a souligné que les utilisateurs devaient avoir le choix de
de ne pas consulter le site de ne pas consentir, sans conséquences négatives. Grindr, cependant, a fait dépendre l'utilisation de l'application du consentement ; les utilisateurs doivent soit consentir au partage des données, soit payer un abonnement

En conclusion, la DPA a déclaré que "Grindr n'a pas réussi à contrôler et à assumer la responsabilité de son propre partage de données et le mécanisme d'"opt-out" n'était pas nécessairement efficace".

" - et c'est là le point crucial, en plus de l'absence de consentement. Vous ne pouvez pas partager des données personnelles avec un nombre potentiellement illimité de partenaires sans être en mesure de contrôler ce qu'il advient de ces données." - Ala Krinickytė, avocat spécialisé dans la protection des données cheznoyb

Les données personnelles ne sont pas une monnaie. L'APD norvégienne a pris une position claire, en affirmant que les données personnelles ne peuvent pas être utilisées pour payer des services numériques, même si Grindr s'est appuyé sur la "publicité comportementale" comme "activité principale" pour se financer. Cette décision joue un rôle essentiel sur le marché européen marché européen, car de nombreux services en ligne tentent de réaliser des bénéfices en présentant les données des utilisateurs comme des moyens de paiement

En fin de compte, l'autorité norvégienne de protection des données a estimé que les avantages financiers dont Grindr a bénéficié grâce à son partage illégal constituaient une circonstance aggravante dans l'évaluation de l'amende, de même que le fait que Grindr ait partagé des données de catégorie spéciale, protégées en vertu de l'article 9, avec ses partenairess partners. La DPA a estimé que la diffusion des données en question pouvait mettre en danger les libertés et droits fondamentaux de la personne concernée, tels que le droit à la vie privée et à la non-discrimination

"Il est étonnant que la DPA doive convaincre Grindr que ses utilisateurs sont LGBT+ et que ce fait n'est pas une marchandise à troquer." - Ala Krinickytė, avocat spécialisé dans la protection des données cheznoyb

Appel auprès du Conseil de la protection de la vie privée. L'affaire peut maintenant faire l'objet d'un appel auprès de la Commission norvégienne de recours en matière de protection de la vie privée (Personvernnemda) dans un délai de trois semaines. Les plaintes contre les sociétés adtech qui ont reçu les données de Grindr sont en cours.

Remerciements

  • Le projet a été mené par le Conseil norvégien des consommateurs.

  • Les tests techniques ont été réalisés par la société de sécurité mnemonic.

  • Les recherches sur l'industrie de la publicité et les courtiers en données spécifiques ont été effectuées avec l'aide du chercheur Wolfie Christl de Cracked Labs

  • Un audit supplémentaire de l'application Grindr a été réalisé par le chercheur Zach Edwards de MetaX.

  • L'analyse juridique et les plaintes officielles ont été rédigées avec l'aide de noyb