Vous voulez vos données Grindr ? Montrez votre carte d'identité et prenez un selfie !

11 Nov 2021

Vous voulez vos données Grindr ? Montrez votre carte d'identité et prenez un selfie !

Aujourd'hui, noyb a déposé une plainte GDPR contre Grindr - une application de rencontre pour les gays, les bi, les trans et les queers, où de nombreux utilisateurs partagent des détails sexuels très personnels, voire explicites. Au lieu de s'authentifier par rapport aux données que les utilisateurs ont fournies, comme l'adresse électronique et le mot de passe, Grindr demande aux utilisateurs de s'identifier de la manière la plus grotesque qui soit : Les utilisateurs doivent brandir un morceau de papier avec leur adresse électronique, ainsi que leur passeport - tout en tenant en équilibre leur téléphone pour prendre un selfie. C'est non seulement absurde, mais aussi une violation du GDPR.

L'exercice des droits fondamentaux doit être facilité par les entreprises. Dans cette affaire, le plaignant représenté par noyb, est un utilisateur de Grindr qui essayait de comprendre davantage comment Grindr utilise ses données. De manière surprenante, Grindr lui a refusé l'accès à ses données personnelles parce que l'utilisateur n'a pas envoyé un selfie tenant son passeport et un morceau de papier sur lequel figure son adresse e-mail

Quand "Hunk_69" doit devenir Richard Smith pour faire valoir ses droits : Les entreprises comme Grindr rendent le processus d'inscription simple et rapide - non seulement pour se conformer à la minimisation des données, mais aussi parce que l'utilisation de Grindr de manière prétendument anonyme fait partie de la promesse faite aux utilisateurs. En particulier lorsque le service est souvent utilisé avec des photos anonymes et en utilisant des pseudonymes, le fait de ne pas avoir à montrer une pièce d'identité pour ouvrir un compte fait partie du service - après tout, même le logo de Grindr est un masque.

Cependant, lorsqu'un utilisateur essaie d'exercer ses droits pour savoir quelles sont les données personnelles que l'entreprise possède sur lui, Grindr lui demande d'enlever soudainement le masque et même de montrer une pièce d'identité délivrée par le gouvernement, ce qui est non seulement incompatible avec le principe de minimisation des données, mais avec l'ensemble du produit.

"Vous pouvez voir et partager même les photos les plus intimes sur Grindr avec seulement votre email et votre mot de passe - ce n'est que lorsque vous voulez exercer vos droits GDPR que vous devez vous déshabiller et montrer une pièce d'identité émise par le gouvernement."- Max Schrems, président de noyb

Les entreprises argumentent généralement par des "raisons de sécurité". Selon la loi, les entreprises sont tenues de faire une évaluation au cas par cas pour savoir s'il existe un doute raisonnable sur l'identité de l'utilisateur. Avoir une politique générale de demande d'informations supplémentaires viole le GDPR, surtout lorsque Grindr ne peut pas réellement faire correspondre l'identifiant avec un utilisateur, car il ne dispose pas du nom réel des utilisateurs

"Il est ridicule d'authentifier 'Hunk 69' avec un identifiant gouvernemental, alors que Grindr est conçu pour ne pas connaître le vrai nom de ses utilisateurs. En réalité, ils exigent un 'coming out' des utilisateurs pour exercer leurs droits." - Max Schrems, président de noyb

Un problème plus large avec les droits liés au GDPR. Grindr est loin d'être la seule entreprise à introduire des règles compliquées, voire prohibitives, lorsque les utilisateurs veulent exercer leurs droits GDPR. Ces "contrôles d'identité de routine" inutiles effectués par les responsables du traitement des données devraient cesser, surtout lorsque d'autres mesures moins intrusives comme l'envoi d'un courriel de vérification ou d'un code dans l'application sont disponibles, comme dans ce cas

Si vous voulez exercer vos droits : Supprimez le compte. Grindr a proposé au plaignant de supprimer son compte s'il "ne souhaite pas partager de données avec Grindr". Le plaignant a choisi une troisième option : déposer une plainte au titre du GDPR auprès de l'autorité autrichienne de protection des données ( DSB ), qui doit maintenant statuer sur l'affaire.