La manière dont sont traitées les données sur les sites de rencontre interroge. Quels sont les risques ? Quelles règles les sites de rencontre doivent respecter ? Quels sont les bons réflexes à avoir pour protéger ses données ?
L’affaire Ashley Madison. En 2015, un groupe de hacker connu sous le nom de “The Impact Team” a décidé de pirater le site de rencontre Ashley Madison. Après avoir annoncé avoir en leur possession les données de près de 30 millions d’utilisateurs du site, les hackers ont exprimé le souhait que le site ferme ses portes, tout en menaçant de diffuser les données subtilisées s’ils n’obtenaient pas satisfaction.
Les conséquences de ce piratage sont nombreuses. Tout d’abord, un grand nombre de noms de personnalités publiques a été dévoilé lors du hack, notamment des députés, portant inévitablement atteinte à leur réputation.
De même, de nombreux anonymes ont été victimes de cette attaque, entraînant inévitablement des dégâts psychologiques, parfois même des suicides.
Cette cyberattaque de grande ampleur soulève de nombreuses questions concernant la protection des données. En France, 80% des entreprises ont été touchées par une cyberattaque en 2018. Le phishing ou hameçonnage touche 73% des entreprises piratées. Le but ? Récupérer les données personnelles sur internet, dans le but d’usurper l’identité de la personne concernée.
Inéluctablement, les conséquences juridiques peuvent être considérables pour elles. Alors, quelles sont les bons réflexes à avoir ? Quelles règles les sites de rencontre doivent respecter ?
Les données traitées. D’une part, il est important de préciser que toute information se rapportant à une personne physique identifiée ou identifiable est une donnée à caractère personnel. Le Règlement Général pour les Données Personnelles (dit RGPD)[1], règlement européen entré en application en date du 25 mai 2018, introduit la notion de “données sensibles”. Il s’agit de l’ensemble des informations révélant l’origine raciale ou ethnique d’une personne, ses opinions politiques, ses convictions religieuses ou philosophiques, son appartenance syndicale ainsi que le traitement de données génétiques, des données biométriques, des données concernant la santé ou des données concernant sa vie sexuelle ou son orientation sexuelle.
Le rôle de la CNIL et la conformité RGPD. Suite à cela, la CNIL, qui a fêté ses 40 ans, a donc décidé d’opérer un certain nombre de contrôles et c’est ainsi que de nombreux manquements ont été constatés. Parmi eux, l’insuffisance de mentions d’information, la conservation de données bancaires, les durées de conservation non fixées, le non-respect du cadre légal concernant les cookies, et surtout, l’insuffisance de mesure de sécurité concernant les données à caractère personnel.
Il est important de souligner qu’en théorie, il est interdit de collecter les données sensibles. Néanmoins, les responsables de traitement ont la possibilité d’effectuer une collecte et un traitement sous plusieurs conditions.
Selon l’article 9 du RGPD, la collecte et le traitement des données sensibles peut être effectué dès lors que la personne concernée donne son consentement exprès, qui doit être écrit, clair et explicite. Ces conditions sont exposées à l’article 4 du RGPD.
De même, l’information des personnes concernées est primordiale concernant le traitement de ces données. Les articles 13 et 14 du RGPD, dans la même continuité que l’article 32 de la Loi Informatique et Libertés de 1978, précisent que l’information devra être transparente, concise, et délivrée dans un langage suffisamment clair. La CNIL a eu l’occasion de rappeler qu’une mention d’information concernant le traitement effectué doit également figurer directement dans le formulaire d’inscription, et pas seulement par le biais d’un lien renvoyant vers les conditions générales d’utilisation ou vers la politique de confidentialité.
Concernant les cookies et autres traceurs (voir ce sujet : article 82), la CNIL précise que les personnes concernées doivent être informées par le biais d’un bandeau, précisant les finalités, mais également le droit d’opposition dont les personnes concernées disposent.
Enfin, concernant les fichiers d’exclusion, qui permettent aux sites de rencontre de suspendre ou de supprimer des profils en fonction de certains critères déterminés, ils font également l’objet de dispositions particulières de la part de la CNIL. Celle-ci a en effet eu l’occasion de sanctionner un certain nombre de site pour la mise en place de ces fichiers sans avoir demandé une autorisation. La CNIL semble donc sévère à ce sujet.
Sécurité des systèmes d’information. La protection de systèmes d’information doit également être abordée. En ce sens, la Loi pour la Confiance en l’Économie Numérique dite LCEN[2] a libéralisé l’utilisation de moyens de cryptologie, qui, selon l’article 29 de la même loi, regroupe “tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes pour réaliser l’opération inverse avec ou sans conventions secrète”. Ces moyens de cryptologie sont des éléments incontournables pour protéger les systèmes d’informations, etin fine, les “libertés individuelles, et en particulier la vie privée tout en conservant la confidentialité des informations les plus sensibles”[3].
Il est néanmoins important que les entreprises souhaitant mettre en place des outils de protection de leurs systèmes d’information (en interne ou en DPO externalisé) respectent un certain nombre d’éléments. En effet, selon Florence Chafiol-Chaumont[4], les moyens mis en place par les entreprises doivent être proportionnés, justifiés mais également, doivent respecter les critères de transparence et de loyauté par le biais de la mise en place d’information préalable individuelle et collective.
Les conseils de la CNIL. Le 28 juillet 2015, la CNIL a publié un certain nombre de recommandations à l’intention des utilisateurs de sites de rencontre. Elle préconise notamment de vérifier que le site de rencontre utilise une connexion sécurisée HTTPS. De même, il est conseillé aux utilisateurs d’être curieux et de lire attentivement les conditions générales d’utilisation. La mise en place d’un mot de passe suffisamment sécurisé est également primordial. Contrôler également les informations transmises au site de rencontre est fortement conseillé, celui-ci étant susceptible de les traiter et de les conserver, parfois dans des conditions qui ne respectent pas les règles instaurées en matière de protection des données.
De même, il est important de souligner que les utilisateurs concernés par le traitement des données peuvent exercer un certain nombre de droits, afin de mieux maîtriser leurs données. Les personnes concernées ont donc la possibilité de s’opposer au traitement et à la réutilisation de leurs données. Elles peuvent également exercer leur droit d’accès et leur droit de rectification concernant les informations fournies au responsable de traitement.
L’utilisation des sites de rencontre, par la nature des données traitées, requiert une grande vigilance aussi bien de la part des entreprises que des utilisateurs. De même, la nécessité de sécuriser les systèmes d’information a son importance.
Dans le même thème : Comment anonymiser et conserver les données ?
Suivez-nous sur Linkedin, Twitter et Facebook
[1]Le règlement n? 2016/679, dit règlement général sur la protection des données
[2]Loi n° 2004-575 du 21 juin 2004
[3]Fasc. 1000 : AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION (ANSSI), JurisClasseur Communication, 28 février 2018
[4] Florence CHAFIOL-CHAUMONT “Système d’information – La protection de son système d’information : quelles obligations, quels risques, quelles solutions ?” – :Cahiers de droit de l’entreprise n° 2, Mars 2008, prat. 9