S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

X : La géolocalisation des comptes attaquée devant la CNIL

En novembre, le réseau social X a affiché une nouvelle information sur le profil de ses utilisateurs : leur géolocalisation. Si elle a semé le doute à propos de l’origine de certains comptes influents, certains utilisateurs se plaignent de la divulgation d’informations qui serait contraire au RGPD.

Ainsi, comme le rapporte l’Informé, l’avocat Jérémy Roche a adressé une plainte à la CNIL. « Cette divulgation est effectuée sans consentement préalable, sans information claire et préalable, et par défaut sans possibilité de refus initial », affirme-t-il dans le document envoyé à l’autorité que notre confrère, Marc Rees, a pu consulter.

Selon l’avocat, le traitement de la géolocalisation de l’utilisateur par X serait illicite puisqu’il ne s’appuierait pas sur une des bases légales d’autorisation de traitement des données.

X n’a pas explicitement demandé le consentement de ses utilisateurs avant de mettre en place cette fonctionnalité. Si le réseau social pourrait plaider l’intérêt légitime, celui-ci doit être étudié en balance avec les droits des utilisateurs de la plateforme qui doivent être protégés. Or l’avocat met en avant « le risque pour un utilisateur d’être repéré lorsqu’il est en vacances dans un pays étranger ». Enfin, si X s’appuie sur la base légale du contrat, Jérémy Roche considère que la fonctionnalité « ne fait pas partie de la prestation contractuelle fondamentale » puisque le réseau social a fonctionné sans pendant des années.

Puisque le siège social européen de X est situé en Irlande, la CNIL devrait transmettre cette plainte à la Data Protection Commission du pays.

Commentaires (15)

votre avatar
La géolocalisation est par pays.
Ca a semé le trouble dans les fermes à trolls, c'était amusant.

Effectivement c'est p'tre plus génant pour les "pays" nés sur d'anciennes palteformes pétrolières.
votre avatar
Ce qui est vraiment mais alors vraiment amusant c'est que vous puissiez croire cela:fume:
votre avatar
"c'était". Ca en a pris de court. Depuis beaucoup sont rapidement rentrées dans le rang.
J'attends la V2 du dépistage: nombre de comptes partageant la même IP, IP floodantes, etc…
Bon, quand on voit que les professionnels sont prêts à acheter une SIM par compte ça devient balèze de débusquer du troll.
Après à la lecture on peut le détecter, c'est plus pour les outils de statistiques que c'est important.
votre avatar
Puisque le siège social européen de X est situé en Irlande, la CNIL devrait transmettre cette plainte à la Data Protection Commission du pays.
... Ce qui va donner qur la procédure va traîner en longueur pour une petite tape sur les doigts...
votre avatar
Puisque le siège social européen de X est situé en Irlande, la CNIL devrait transmettre cette plainte à la Data Protection Commission du pays.
A.K.A. /dev/null
votre avatar
C’est pour ça que j’ai refais la même plainte, en attaquant directement X mais aux États-Unis 😊
Comme ça la CNIL est directement compétente, sans passer par la DPC.
votre avatar
Tu nous diras en 2028 ce qu'ils t'ont répondu ! :embarassed:
votre avatar
J'ai du mal à comprendre comment la CNIL est compétente pour une plainte aux USA.

On peut comprendre la démarche ?
votre avatar
La plainte n’est pas aux USA mais en France.

Si le Responsable de Traitement n’est pas Européen, alors la CNIL est directement compétente et non plus l’Autorité de Contrôle du pays Européen du Responsable de Traitement.
Article 55 et 56 du RGPD : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre6#Article55

En gros :

  • Responsable de Traitement sur le territoire de l’EEE => compétence de l’Autorité de Contrôle du pays du Responsable de Traitement en tant qu’Autorité Chef de File sous la supervision de l’Autorité de Contrôle du pays du plaignant

  • Responsable de Traitement hors EEE => compétence de l’Autorité de Contrôle du pays du plaignant

votre avatar
Dans leur politique de confidentialité :
Si vous résidez dans l'Union européenne, dans les pays de l'AELE ou au Royaume-Uni, le responsable du traitement de vos données personnelles est X Internet Unlimited Company, dont l'adresse est la suivante :
X Internet Unlimited Company
Attn: Data Protection Officer
One Cumberland Place, Fenian Street
Dublin 2, D02 AX07 IRELAND
Je doute qu'attaquer X Corp. soit valable et donc penser que la CNIL traitera soit valable. La plainte finira en Irlande ou à la poubelle si c'est la mauvaise entité qui est attaquée.

Toutes les grandes plateformes font de même et c'est l'Irlande qui traite les plaintes au final.

Les seuls cas que je connaisse où ça marche, c'est quand on attaque sur la loi Informatique et liberté (les points qui restent suite au RGPD) et pas le RGPD. Là, la CNIL reste compétente.
votre avatar
Le responsable de traitement ne se déclare pas mais se constate par les actes et par une autorité de contrôle. Ce qui est dans les CGU est donc inopposable à la CNIL.

CEPD 10/2023 https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_fr.pdf


  1. La notion de responsable du traitement étant une notion fonctionnelle, elle repose


donc sur une analyse factuelle plutôt que formelle.

  1. La nécessité d’une appréciation factuelle signifie également que le rôle du responsable


du traitement ne découle pas de la nature de l’entité qui traite les données, mais de ses
activités concrètes dans un contexte précis.
votre avatar
Ceci est vrai en théorie mais aujourd’hui, l'ensemble des autorités de contrôle de l'UE reconnaissent que c'est bien l'entité Irlandaise de X qui est le responsable de traitement pour le RGPD et donc que c'est la Data Protection Commission irlandaise qui est l'autorité de contrôle chef de file.

Mais je veux bien un exemple qui montre le contraire.
votre avatar
La loi Informatique et Libertés est le RGPD depuis mai 2018
legifrance.gouv.fr République Française
Le RGPD a justement été transposé en droit national depuis.
votre avatar
Le RGPD a justement été transposé en droit national depuis.
Attention, y'a pas de notion de transposition dans le cas d'un réglement européen (application directe pour tous les États-membres, là où une directive est une "spec" à transposer en droit national), uniquement pour une directive. Ici, c'est le droit national a été réaligné pour être conforme avec le règlement.
votre avatar
J'allais faire la même remarque.

J'ajouterais que tout ce qui est du ressort du RGPD a été supprimé de la loi du 6 janvier 1978 et on y a ajouté tout ce que le RGPD demandait ou permettait. Cela va de la désignation de la CNIL comme autorité de contrôle à des articles comprenant des spécificités nationales quand le RGPD le permettait.