La Commission norvégienne de recours en matière de protection de la vie privée (Personvernnemnda) confirme l’amende de 5,8 millions d'euros que la CNIL norvégienne (la Datatilsynet) avait infligée en 2021 contre Grindr.
Le Conseil norvégien des consommateurs avait déposé une plainte en 2020 pour violation du RGPD contre l’application de rencontres gay, bi, trans, et queer qui partageait des informations sur la localisation GPS, l'adresse IP, l'identifiant publicitaire du téléphone portable, l'âge et le sexe (en plus du fait qu'une personne est un utilisateur de Grindr) avec plusieurs tierces parties à des fins de marketing.
L'autorité de protection des données a conclu en décembre 2021 que Grindr avait divulgué des données personnelles sur les utilisateurs à des tiers à des fins de publicité comportementale sans base légale. Grindr avait fait appel. La Commission de recours s’est rangée derrière l’avis de la Datatilsynet considérant que le consentement n'était ni volontaire, ni spécifique, ni éclairé.
« Nous sommes très heureux que la Commission de recours en matière de protection de la vie privée soit d'accord avec nos conclusions et qu'elle ait confirmé notre décision. Il s'agissait d'une affaire importante et prioritaire pour l'autorité norvégienne de protection des données et, bien sûr, pour la protection des données des consommateurs », a déclaré Line Coll, directrice générale de la Datatilsynet.
Elle a ajouté que « le consentement est un outil qui permet aux utilisateurs de contrôler leurs propres données personnelles. Si les utilisateurs ne sont pas en mesure de comprendre ce à quoi ils consentent, ou s'ils ne bénéficient pas d'une réelle liberté de choix, les consentements sont illusoires ».
Commentaires (13)
#1
Décidément ça enchaîne en Norvège sur ces dossiers. Ce n’est pas plus mal.
Surtout que là on parle en plus du périmètre des données dites “sensibles” par le RGPD.
#2
La simple existence de cette appli n’est pas déjà en soit illégale vis-à-vis du RGPD ? (càd le fait de fichier les gays)
#2.1
Non. Le RGPD ne rend rien illégal de fait. Le RGPD impose, entre autre :
Ici, c’est une application de rencontre gay. Une personne qui s’y inscrit le sait pertinemment, et son inscription vaut consentement, répondant aux obligations légales permettant la collecte de l’information.
Ce que le RGPD interdit, c’est la collecte de données sensibles sans aucun rapport avec les traitements envisagés. Par exemple, une assurance n’aura pas le droit de collecter l’orientation sexuelle, sauf à ce que la personne donne explicitement son consentement.
#2.2
Yep vous avez raison, en soit ce n’est pas illégal.
Par contre je saisie mal le business modèle: Ce genre d’appli vis sur la collecte revente de données, et là vu la sensibilité c’est invendable en respectant la loi.
#2.3
Et c’est justement l’objet de la plainte du Conseil norvégien des consommateurs cité dans l’article : avoir partagé ces données à des tiers. Si Gindr ne demandait pas explicitement l’orientation sexuelle de la personne, les données qu’elle partageait indiquait tout de même que celle-ci était inscrite sur le service. Service qui se présente comme étant adressé à des personnes homosexuelles et plus si affinité. Faisant que par inférence, l’orientation sexuelle supposée de la personne était déductible.
Et Gindr a failli à demander explicitement le consentement du partage de cette information. C’est sur ce point qu’ils ont pris une claque :
Ca peut effectivement mettre à mal leur business model, mais cela dit, si Gindr demande le consentement explicite, libre et éclairé de la personne, la revente à un tiers serait potentiellement permise du moment que la personne est bien informée (cela reste mon interprétation). Après je suppose que l’application a des options “premium”, je ne sais pas.
#3
Excellent timig https://noyb.eu/en/eu-58-million-fine-grindr-confirmed
#4
C’est assez décevant que cette offensive (salutaire) provienne d’un pays non membre de l’UE, sur une réglementation emblématique de l’UE.
#5
Cheh
#6
Je pense pas.
Autrement, ce serait également le cas pour toutes les apps qui ciblent les femmes, les croyants de n’importe quelle religion, les groupes ethniques, etc, bref toutes les “communautés” (entre “” parce que je deteste et le mot et ce qu’il représente).
#7
Un amende bon d’accord, mais peut être-aussi dédommager les victimes ?
#8
La collecte des données dites “sensibles” par le RGPD (dans le cas présent : l’orientation sexuelle) est interdite par défaut sauf dans le cas où :
Cette liste de critères n’est pas exhaustive.
De ce fait, ce genre de service ne me paraît pas contraire au RGPD.
Il est aussi possible qu’elle dépile un certaine nombre de plaintes et que les entreprises concernées par les récentes décisions aient une politique de confidentialité qui indique qu’une antenne locale de celles-ci est responsable du traitement, activant de ce fait la compétence de l’autorité de protection de l’Etat concerné. Tous les citoyens des Etats-membres de l’UE ou de l’Espace Economique Européen, n’ont pas forcément la même sensibilité à la protection des données personnelles. Typiquement la Suisse a une législation assez forte sur le sujet (la nLPD récemment entrée en vigueur est similaire au RGPD et impose peu ou prou les mêmes obligations), tout comme les allemands sont aussi un peu plus sensibles sur le sujet.
Il ne faut pas oublier aussi que le RGPD a donné des droits aux personnes. Charge à elles de les faire valoir également, les autorités de protection des données ne s’auto-saisissent pas à ma connaissance. La démarche n’est pas unilatérale et le premier pas, c’est de joindre le DPO de l’organisme concerné. C’est un exercice très intéressant car généralement ils répondent bien et sont même de bon conseil de mon expérience. J’ai même eu le contact d’un data broker comme ça pour faire supprimer et m’opposer au traitement de mes données chez ce dernier.
Ca coûte quoi ? Dix minutes pour écrire un mail. Mais je pense que la population n’est pasencore assez informée/sensibilisée sur le sujet.
Ce n’est pas le rôle des autorités de protection des données mais de la justice du pays en question. Charge aux personnes qui s’estiment lésées de porter plainte.
#9
Petit complément : ce sont des news bruyantes relatives à des acteurs visibles et connus.
Les autorités de protection des données travaillent et produisent des décisions à la pelle. Je te conseille de suivre en RSS GDPRHub monté par Noyb.
#10
Non. Ce genre d’appli vit sur la vente d’abonnement et d’options.
Paradoxalement, ce genre d’appli doit côté doit vous garder captif le plus longtemps possible (il faut faire du fric) tout en vous gardant le moins possible (faut que ça marche, sinon, personne ne viendrait !)