Happn, dans la ligne de mire de la CNIL

Actualités Legalnews ©

Happn s’est récemment faite pointer du doigt par l’association UFC-Que-Choisir qui s’appuie sur les conclusions d’une étude menée par une société norvégienne ayant relevé des pratiques prétendument peu respectueuses de la vie privée de ses membres. Dans un communiqué de presse du 2 février 2016, l’association a annoncé avoir saisi la CNIL dans l’espoir qu’elle s’empare du sujet et effectue un contrôle des traitements opérés par Happn.

Les faits reprochés et la probabilité d’un contrôle de la part de la CNIL

Si l’on en croit les allégations du rapport dont l’UFC-Que-Choisir s’est fait l’écho, Happn transfèrerait certaines données personnelles de ses membres à la société Upsight, spécialisée dans le marketing et l’analyse de données et basée aux Etats Unis. Cette société étant localisée dans un pays tiers n’offrant pas un « niveau de protection adéquat » des données personnelles au sens de la Loi informatique et libertés, l’UFC-Que-Choisir émet des craintes sur la nature des données transférées, leur finalité et remet en cause la licéité du transfert… en particulier depuis l’annulation du Safe Harbor. L’UFC-Que-Choisir dénonce également la présence d’un cookie installé sur le smartphone d’un membre qui survivrait à la désinstallation de l’application et continuerait de communiquer des informations à la société Happn.

Ces faits, s’ils étaient avérés, sont passibles de sanctions pénales conformément aux articles 226-16 et suivants du Code pénal qui prévoient des peines d’emprisonnement et d’amendes pouvant atteindre 1 500 000 euros lorsque l’infraction est commise par une personne morale.

Les sites et applications de rencontre préoccupent la CNIL depuis un certain temps, plusieurs sites (Meetic, Attractive World, Adopte un mec, Easyflirt…) ayant récemment fait l’objet d’une vague de contrôles qui s’est soldée par l’envoi de plusieurs mises en demeure rendues publiques en juillet 2015.

La probabilité que la CNIL s’empare du cas Happn et lance un contrôle apparait donc objectivement assez élevée. Il ne serait pas non plus étonnant que la CNIL étende son contrôle à d’autres applications qui recourent à des moyens de géolocalisation (Tinder, Ahead, LikeLunch…)

Si un contrôle était diligenté, les agents de la CNIL seraient habilités à obtenir d’Happn des extractions de bases de données, la copie des contrats conclus entre Happn et ses sous-traitants (en France et à l’étranger), en particulier la copie des contrats de transfert de données vers des sociétés situées dans des pays tiers. Les agents de la CNIL sont également habilités à vérifier, sur place, la durée de conservation des données, le processus d’habilitation des employés d’Happn ayant accès aux données des membres, les mesures de sécurité en vigueur (sécurisation des bases de données, sécurisation des accès physiques et logiques aux serveurs, vérification des normes de sécurité applicables à l’hébergeur). Les constatations effectuées par les agents font alors l’objet d’un procès-verbal.

Ces éléments de preuve pourraient permettre aux agents de la CNIL de vérifier si les allégations de l’UFC-Que- Choisir sont avérées ou non et plus généralement de s’assurer que les traitements des données personnelles des membres de l’application Happn sont bien conformes à la Loi informatique et libertés. Au vu des traitements opérés par ce type d’application, qui intègrent un système de géolocalisation des membres, quels seraient les sujets les plus susceptibles d’intéresser la CNIL ?

La licéité des transferts de données vers des tiers situés dans des pays n’assurant pas un niveau de protection adéquat

Il s’agit là du principal grief soulevé par l’association UFC-Que-Choisir. Pour qu’un transfert de données personnelles vers un pays tiers soit licite au regard de la Loi informatique et libertés, le membre doit d’abord avoir été informé de la possibilité d’un transfert de ses données personnelles et consenti expressément à celui-ci. En l’espèce, les CGU d’Happn prévoient que « lors de son inscription, le Membre donne son consentement exprès pour que ses données soient hébergées sur des serveurs hors de l’Union Européenne, aux États-Unis pour les besoins de fonctionnement du service ». Cependant, la validation des CGU ne constitue pas une étape impérative du processus d’inscription à Happn et de création de compte. De plus, les mentions légales du site Happn ne précisent pas les coordonnées de l’hébergeur. La CNIL pourrait donc être amenée à considérer que le membre n’a pas été informé sur la possibilité d’un transfert de ses données à des destinataires situés hors Union Européenne et que le consentement du membre à ce transfert n’est pas caractérisé.

L’éditeur de l’application devrait également justifier auprès de la CNIL avoir encadré le transfert de données vers son sous-traitant situé dans un pays tiers (l’hébergeur), par exemple en signant avec ce dernier un contrat suivant le modèle de clauses contractuelles type adopté par la Commission européenne et dont l’objet consiste à sécuriser les transferts de données.

Par ailleurs, si comme l’indique l’UFC-Que-Choisir, des données personnelles sont effectivement transmises par Happn à la société Upsight basée aux Etats-Unis, l’éditeur devrait justifier avoir informé ses membres et recueilli leur accord. Les CGU d’Happn n’en font pas expressément mention (version du 3 février 2016). La question de l’encadrement du transfert se pose dans les mêmes termes que pour le transfert de données vers l’hébergeur : la CNIL vérifiera si des clauses contractuelles types ont été signées ou non entre les parties. L’on notera au passage que la société Upsight ne figure pas parmi la liste des sociétés ayant adhéré au Safe Harbor, de sorte que l’invalidation du Safe Harbor est sans incidence en l’espèce sur la licéité du transfert.

Toutefois, il est également envisageable qu’Happn se contente de ne transmettre à Upsight que des données anonymisées. Happn indique en effet « contracter avec une liste exhaustive de sociétés tierces, authentifiées et fiables, afin d’établir, à partir de données entièrement anonymisées des statistiques sur les volumes de fréquentation et/ou l’utilisation de l’Application (…) ». Si les données transmises à Upsight ont effectivement été anonymisées, et ce, de manière irréversible, le transfert de ces données ne serait alors pas assujetti à la Loi informatique et libertés.

La vérification de l’usage et des données remontées par les cookies

Conformément aux recommandations de la CNIL du 5 décembre 2013 en la matière, l’éditeur devrait recueillir le consentement préalable de ses membres en les informant de manière visible, complète et intelligible sur la nature des cookies installés, leur finalité (publicité, mesure d’audience, boutons de partage des réseaux sociaux), et la possibilité de s’opposer à l’installation de ces cookies. La CNIL préconise que le consentement donné à l’installation de cookies soit renouvelé par l’utilisateur, au moins tous les 13 mois.

Lors des opérations de contrôle diligentées en 2014 auprès de plusieurs sites de rencontre, la CNIL avait relevé plusieurs manquements résultant d’une absence d’information des membres et d’une durée excessive de conservation des données enregistrées par les cookies. Normalement, les cookies ne devraient plus remonter d’informations postérieurement à la désactivation d’un compte ou la désinstallation de l’application.

La collecte et le traitement des données de géolocalisation doivent être proportionnés au but recherché

Grâce à la géolocalisation, l’application Happn permet de parcourir les photos de personnes inscrites sur Happn qui se trouvent à proximité ou que l’on a croisées dans le passé, dans le but d’établir des rencontres virtuelles ou réelles.

La géolocalisation d’un membre suppose une démarche active du membre : l’activation de l’option de géolocalisation sur son smartphone participe au processus d’inscription et est nécessaire au bon fonctionnement de l’application (c’est d’ailleurs l’un des principaux intérêts de celle-ci !). Le membre peut ensuite revenir sur son consentement et désactiver la fonction de géolocalisation.

L’éditeur indique dans ses CGU qu’il se défend de reconstituer « les déplacements de ses membres et rappelle ne répertorier que les points de croisement. Ni les services de Happn dans son ensemble ni ses salariés et responsables du traitement des données personnelles ne connaissent l’itinéraire exact du membre. Ces points de croisement ne permettent pas de connaître l’itinéraire du membre (…) ».

La CNIL étant particulièrement vigilante sur les traitements qui sont susceptibles de conduire à la surveillance des déplacements des individus, il ne fait aucun doute qu’elle s’assurera que les déclarations faites dans les CGU correspondent bien à la réalité.

L’information et le consentement des membres à la collecte de données sensibles

Happn collecte certaines données sensibles (orientation sexuelle notamment, origines ethnique, appartenance religieuse…). Lors des contrôles opérés sur d’autres sites de rencontre, la CNIL avait considéré que les personnes n’étaient pas suffisamment alertées sur les risques associés à la communication de telles données et n’avaient pas fourni un consentement exprès, via une case à cocher, au traitement de ces données. La CNIL considère en effet que « le consentement ne peut être exprès que s’il est donné en toute connaissance de cause c’est-à-dire après la délivrance d’une information adéquate sur l’usage qui sera fait des données personnelles, indépendamment de la possibilité laissée à l’internaute de ne pas renseigner ses données ». Si les CGU d’Happn sensibilisent les membres sur le sujet, le caractère exprès du consentement pourrait apparaître contestable aux yeux de la CNIL dans la mesure où il ne figure que dans les CGU.

La durée de conservation des données doit enfin être raisonnable

Dans le cas d’Happn, les données d’un membre sont conservées pendant toute la durée nécessaire à l’utilisation de son compte et pendant une année à compter de sa suppression. Cette durée apparaît raisonnable et justifiée, notamment au regard de l’obligation de conservation des données de connexion qui pèse sur les hébergeurs en application de l’article 6, II de la Loi pour la Confiance dans l’Economie Numérique du 21 juin 2004. Il serait souhaitable de prévoir la désactivation du compte si celui-ci reste inactif pendant une longue période (1 an par exemple). En cas de contrôle, la CNIL vérifiera que ces durées de conservation sont respectées et que les données des membres désinscrits depuis plus d’un an ont bien été supprimées.

Conclusion

Face à l’essor des sites de rencontres, qu’ils soient personnels ou professionnels, il est légitime de s’interroger sur l’exploitation qui peut être faite de la masse de données collectées auprès de millions d’utilisateurs. Les possibilités qu’offrent les outils de géolocalisation intégrés sont également une source d’inquiétude et nécessitent d’être encadrées, en vue d’assurer un minimum de protection de la vie privée et la sécurité des membres. Pour autant, certaines recommandations de la CNIL se heurtent à des contraintes pratiques : l’information claire, loyale et exhaustive et le recueil de consentement exprès pour la collecte de données sensibles ou l’autorisation de transfert de données hors Union Européenne n’est pas nécessairement compatible avec la simplicité et la convivialité des interfaces de ce type d’application. Il faut alors nécessairement faire quelques arbitrages entre des choix techniques et ergonomiques et l’application stricte de la Loi informatique et libertés, sans sacrifier les fondamentaux (collecte loyale, pour une finalité précise et une durée de conservation limitée).

Olivia Luzi
Avocat à la Cour, Associé
Cabinet Féral-Schuhl / Sainte-Marie