Connexion
Abonnez-vous

La sanction de 5,8 millions d’euros de la CNIL norvégienne contre Grindr confirmée

La sanction de 5,8 millions d'euros de la CNIL norvégienne contre Grindr confirmée

Le 04 octobre 2023 à 05h15

La Commission norvégienne de recours en matière de protection de la vie privée (Personvernnemnda) confirme l’amende de 5,8 millions d'euros que la CNIL norvégienne (la Datatilsynet) avait infligée en 2021 contre Grindr.

Le Conseil norvégien des consommateurs avait déposé une plainte en 2020 pour violation du RGPD contre l’application de rencontres gay, bi, trans, et queer qui partageait des informations sur la localisation GPS, l'adresse IP, l'identifiant publicitaire du téléphone portable, l'âge et le sexe (en plus du fait qu'une personne est un utilisateur de Grindr) avec plusieurs tierces parties à des fins de marketing.

L'autorité de protection des données a conclu en décembre 2021 que Grindr avait divulgué des données personnelles sur les utilisateurs à des tiers à des fins de publicité comportementale sans base légale. Grindr avait fait appel. La Commission de recours s’est rangée derrière l’avis de la Datatilsynet considérant que le consentement n'était ni volontaire, ni spécifique, ni éclairé.

« Nous sommes très heureux que la Commission de recours en matière de protection de la vie privée soit d'accord avec nos conclusions et qu'elle ait confirmé notre décision. Il s'agissait d'une affaire importante et prioritaire pour l'autorité norvégienne de protection des données et, bien sûr, pour la protection des données des consommateurs », a déclaré Line Coll, directrice générale de la Datatilsynet.

Elle a ajouté que « le consentement est un outil qui permet aux utilisateurs de contrôler leurs propres données personnelles. Si les utilisateurs ne sont pas en mesure de comprendre ce à quoi ils consentent, ou s'ils ne bénéficient pas d'une réelle liberté de choix, les consentements sont illusoires ».

Le 04 octobre 2023 à 05h15

Commentaires (13)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Décidément ça enchaîne en Norvège sur ces dossiers. Ce n’est pas plus mal.



Surtout que là on parle en plus du périmètre des données dites “sensibles” par le RGPD.

votre avatar

La simple existence de cette appli n’est pas déjà en soit illégale vis-à-vis du RGPD ? (càd le fait de fichier les gays)

votre avatar

Non. Le RGPD ne rend rien illégal de fait. Le RGPD impose, entre autre :




  • d’avoir d’une base légale pour le traitement

  • d’avoir une considération particulière pour les données dites sensibles (dont l’orientation sexuelle appartient).



Ici, c’est une application de rencontre gay. Une personne qui s’y inscrit le sait pertinemment, et son inscription vaut consentement, répondant aux obligations légales permettant la collecte de l’information.



Ce que le RGPD interdit, c’est la collecte de données sensibles sans aucun rapport avec les traitements envisagés. Par exemple, une assurance n’aura pas le droit de collecter l’orientation sexuelle, sauf à ce que la personne donne explicitement son consentement.

votre avatar

Yep vous avez raison, en soit ce n’est pas illégal.
Par contre je saisie mal le business modèle: Ce genre d’appli vis sur la collecte revente de données, et là vu la sensibilité c’est invendable en respectant la loi.

votre avatar

Yep vous avez raison, en soit ce n’est pas illégal. Par contre je saisie mal le business modèle: Ce genre d’appli vis sur la collecte revente de données, et là vu la sensibilité c’est invendable en respectant la loi.


Et c’est justement l’objet de la plainte du Conseil norvégien des consommateurs cité dans l’article : avoir partagé ces données à des tiers. Si Gindr ne demandait pas explicitement l’orientation sexuelle de la personne, les données qu’elle partageait indiquait tout de même que celle-ci était inscrite sur le service. Service qui se présente comme étant adressé à des personnes homosexuelles et plus si affinité. Faisant que par inférence, l’orientation sexuelle supposée de la personne était déductible.



Et Gindr a failli à demander explicitement le consentement du partage de cette information. C’est sur ce point qu’ils ont pris une claque :




The Privacy Appeal Board agrees, stating that consent was neither voluntary, specific nor informed. The Board points out, among other things, that the user was not given a free choice to consent to the disclosure of personal data during registration in the app, and that the relevant information about data sharing was only included in the privacy policy.


Ca peut effectivement mettre à mal leur business model, mais cela dit, si Gindr demande le consentement explicite, libre et éclairé de la personne, la revente à un tiers serait potentiellement permise du moment que la personne est bien informée (cela reste mon interprétation). Après je suppose que l’application a des options “premium”, je ne sais pas.

votre avatar
votre avatar

SebGF a dit:


Décidément ça enchaîne en Norvège sur ces dossiers. Ce n’est pas plus mal.


C’est assez décevant que cette offensive (salutaire) provienne d’un pays non membre de l’UE, sur une réglementation emblématique de l’UE.

votre avatar

Cheh

votre avatar

fofo9012 a dit:


La simple existence de cette appli n’est pas déjà en soit illégale vis-à-vis du RGPD ? (càd le fait de fichier les gays)


Je pense pas.
Autrement, ce serait également le cas pour toutes les apps qui ciblent les femmes, les croyants de n’importe quelle religion, les groupes ethniques, etc, bref toutes les “communautés” (entre “” parce que je deteste et le mot et ce qu’il représente).

votre avatar

Un amende bon d’accord, mais peut être-aussi dédommager les victimes ?

votre avatar

fofo9012 a dit:


La simple existence de cette appli n’est pas déjà en soit illégale vis-à-vis du RGPD ? (càd le fait de fichier les gays)


La collecte des données dites “sensibles” par le RGPD (dans le cas présent : l’orientation sexuelle) est interdite par défaut sauf dans le cas où :




  • la personne a explicitement donné son accord (je pense que ce critère s’applique pour ces applis, s’y inscrire est une action positive, libre et éclairée)

  • si cela est une information manifestement rendue publique par la personne

  • nécessaire à la sauvegarde de la vie humaine

  • utilisation justifiée par l’intérêt public et autorisée par la CNIL

  • si elles concernent l’adhésion à une association ou organisation politique / religieuse / syndicale / philosophique…



Cette liste de critères n’est pas exhaustive.



De ce fait, ce genre de service ne me paraît pas contraire au RGPD.




Trooppper a dit:


C’est assez décevant que cette offensive (salutaire) provienne d’un pays non membre de l’UE, sur une réglementation emblématique de l’UE.


Il est aussi possible qu’elle dépile un certaine nombre de plaintes et que les entreprises concernées par les récentes décisions aient une politique de confidentialité qui indique qu’une antenne locale de celles-ci est responsable du traitement, activant de ce fait la compétence de l’autorité de protection de l’Etat concerné. Tous les citoyens des Etats-membres de l’UE ou de l’Espace Economique Européen, n’ont pas forcément la même sensibilité à la protection des données personnelles. Typiquement la Suisse a une législation assez forte sur le sujet (la nLPD récemment entrée en vigueur est similaire au RGPD et impose peu ou prou les mêmes obligations), tout comme les allemands sont aussi un peu plus sensibles sur le sujet.



Il ne faut pas oublier aussi que le RGPD a donné des droits aux personnes. Charge à elles de les faire valoir également, les autorités de protection des données ne s’auto-saisissent pas à ma connaissance. La démarche n’est pas unilatérale et le premier pas, c’est de joindre le DPO de l’organisme concerné. C’est un exercice très intéressant car généralement ils répondent bien et sont même de bon conseil de mon expérience. J’ai même eu le contact d’un data broker comme ça pour faire supprimer et m’opposer au traitement de mes données chez ce dernier.



Ca coûte quoi ? Dix minutes pour écrire un mail. Mais je pense que la population n’est pasencore assez informée/sensibilisée sur le sujet.




OniriCorpe a dit:


Un amende bon d’accord, mais peut être-aussi dédommager les victimes ?


Ce n’est pas le rôle des autorités de protection des données mais de la justice du pays en question. Charge aux personnes qui s’estiment lésées de porter plainte.

votre avatar

Trooppper a dit:


C’est assez décevant que cette offensive (salutaire) provienne d’un pays non membre de l’UE, sur une réglementation emblématique de l’UE.


Petit complément : ce sont des news bruyantes relatives à des acteurs visibles et connus.



Les autorités de protection des données travaillent et produisent des décisions à la pelle. Je te conseille de suivre en RSS GDPRHub monté par Noyb.

votre avatar

fofo9012 a dit:


Yep vous avez raison, en soit ce n’est pas illégal. Par contre je saisie mal le business modèle: Ce genre d’appli vis sur la collecte revente de données, et là vu la sensibilité c’est invendable en respectant la loi.


Non. Ce genre d’appli vit sur la vente d’abonnement et d’options.



Paradoxalement, ce genre d’appli doit côté doit vous garder captif le plus longtemps possible (il faut faire du fric) tout en vous gardant le moins possible (faut que ça marche, sinon, personne ne viendrait !)

La sanction de 5,8 millions d’euros de la CNIL norvégienne contre Grindr confirmée

Fermer