Ils ont le vent en poupe, mais leur politique de gestion des données personnelles est parfois voilée : la CNIL vient en effet de mettre en demeure une ribambelle de sites de rencontres en ligne pour indélicatesses avec les dispositions de la loi Informatiques et Libertés.
Les sites de rencontre pullulent sur le Net, avec dans leurs bagages quantité de données parfois très personnelles confiées plus ou moins consciemment par les internautes. Meetic, Attractive World, Adopte un mec, Easyflirt, Rencontre obèse, Destidyll, Forcegay, Mektoube, Jdream, Feujworld, Marmite love, Gauche-Rencontre, Celibest ont ainsi fait l’objet d’un contrôle par l’autorité en charge du respect de la législation sur les données personnelles. Après analyse, « de nombreux manquements (…) ont été constatés » regrettent les services d’Isabelle Falque-Pierrotin, présidente de la CNIL.
Sont pointés, dans le lot, des défauts de consentement exprès avant la collecte de données sensibles, notamment relatives aux pratiques sexuelles, aux origines ethniques, aux convictions religieuses. « Il est important que les internautes aient conscience de la protection attachée à ces données qui révèlent des éléments-clés de leur intimité » oppose la CNIL. Autres problèmes, des sites conservent trop souvent les données personnelles des anciens membres après leur désinscription, ou excluent des personnes, sans avoir obtenu préalablement l’autorisation de la Commission pour la gestion de leur fichier des moutons noirs. S’ajoutent des défauts d’informations quant à leurs droits d’accès, de suppression et de rectification, sans oublier une multitude de problèmes au regard de leur politique des cookies. Un sujet sur lequel la CNIL entend visiblement taper du poing plus lourdement.
« Boulet », « Pute » dans une base de données des membres exclus
En plongeant notre nez dans la décision visant Adopte un mec (pdf), par exemple, on apprend que « la société peut procéder à la suspension des profils qui ne respectent pas les conditions générales du site Internet ou qui présentent un risque avéré de fraude ». Rien d’anormal ici et l'initiative est même plutôt bienvenue puisqu’il y va du confort général des autres membres.
La CNIL a cependant découvert dans la base des membres exclus, sont mentionnés les motifs de suspension, sous des termes parfois très fleuris, comme « boulet » (2 588 occurrences) ou encore « pute » (131). Si l'épisode est loin de concurrencer avec le cas Boulanger, « il n’apparait pas adéquat que la base de données de la société contienne de tels qualificatifs, estime la Commission, la société pouvant utiliser une terminologie ne présentant pas un caractère injurieux ou insultant pour identifier le motif de la suspension ». Autre souci, Adopte un mec n’a procédé à aucune demande d’autorisation pour sa gestion de liste noire (blacklistage d’adresse IP, etc.).
Ce n’est pas tout. Le site permet aux membres femmes de renseigner une page « Mon sexo » pour enrichir quelques informations très intimes : « ce qui m’émoustille », « au lit j’aime… » ou « mes accessoires », mention accompagnée de précisions du type « sextoys », « menottes (avec moumoute) », « cravache ». Pourquoi pas ! Sauf que pour la CNIL, ces données sensibles exigent « un consentement exprès des personnes concernées », lequel ne peut intervenir « que s’il est donné en toute connaissance de cause c’est-à-dire après la délivrance d’une information adéquate sur l’usage qui sera fait des données personnelles ». Et le hic est là : le simple fait pour une personne « de renseigner des données ne saurait être considéré comme un consentement exprès ».
Les flux des données personnelles font également l’objet de sèches remontrances. Adopte un mec avait été autorisé par la CNIL à transférer hors Union européenne des données relatives à l’état civil et à la localisation des personnes, précisément au Maroc, là où l’éditeur a son support client. Problème, « sont également transférées les données relatives à la vie personnelle, à la vie professionnelle et les données sensibles des utilisateurs du site Internet » grogne la Commission, qui flaire aussi « un manquement à l’obligation d’assurer la sécurité et la confidentialité des données », sans détailler ses reproches puisque ces éléments techniques peuvent ne pas avoir été colmaté à cet instant. On ne sait donc pas si ont été épinglées les informations sensibles que nous avions découvertes voilà un an, dans le code source du site (hash du mot de passe, dernière adresse IP, coordonnées géographiques, adresse email, code postal, date de naissance, date du dernier échange par chat).
Des données conservées trop longtemps
Meetic, autre géant du secteur, a également été la cible d’une série de reproches (pdf), là encore pour le système d’exclusion des personnes qui ne respectent pas ses CGU. Or, s’agissant d’un traitement automatisé qui permet de priver quelqu’un du bénéfice d’un contrat ou d’une prestation, il doit impérativement relever du régime de l’autorisation, ce que Meetic n’a pas jugé bon de faire auprès de la CNIL.
Comme Adopte un mec, les données sensibles liées aux origines raciales ou ethniques, aux opinions religieuses ou la vie sexuelle n’étaient pas précédées d’un consentement exprès des personnes concernées, qui aurait normalement dû impliquer une « information adéquate ». Meetic s’est également fait taper sur les doigts pour avoir conservé nombre de comptes plus de 3 ans après leur fermeture. « La société ne procède donc pas à la purge des données des comptes clients clôturés sur la base des durées de conservation qu’elle a définis par déclaration n°796865. »
Et Attractive World (pdf) ? Ce service édité par la société Smadhi est notamment blâmé pour sa politique relative aux anciens comptes, puisque « la société ne procède pas à la purge des données relatives aux comptes supprimés à l’initiative de la société ou de la personne concernée ».
La société a certes expliqué avoir mis en place « un processus d’anonymisation des données à des fins statistiques », relate la CNIL, mais « sans toutefois en justifier ». De même, le site en cause conservait les données bancaires au-delà du terme du contrat d’abonnement. Une durée jugée excessive, d’autant que le paiement de l’abonnement s’effectue « en une seule fois ».
Pas de sanction pour l'instant, mais des mises en demeure rendues publiques
Les huit éditeurs en cause, Toodate, Samadhi, Ness Interactive, GEB Adoptaguy, Phoenix Corp, Meetic SAS, LT Services, 2L Multimedia, n’ont pas fait l’objet de sanction, mais d'une simple mise en demeure. Ils ont en effet trois mois pour s’adapter aux contraintes de la loi Informatique et Libertés. La CNIL a cependant usé de l’aiguillon le plus douloureux pour un site commercial : elle a rendu public l’ensemble de ses décisions et délibérations. Elle considère à cet égard que « la publicité est nécessaire pour sensibiliser plus largement les responsables de traitements au cadre légal gouvernant les sites de rencontre en ligne qui connaissent un fort développement ».
