Par Amanda Dubarry et Jean-Edouard Poux
Être invité à discuter avec Elon de Musk dans un salon privé, voilà une des promesses de Clubhouse. Si le concept fait fureur dans le monde du numérique et chez les célébrités, l’arrière-boutique, et notamment le traitement des données personnelles, semble moins réjouissante pour les utilisateurs. En effet, l’application contreviendrait à de nombreuses règles du RGPD. Aussi, dans l’objectif de vérifier la justesse de ces multiples accusations, la CNIL a récemment ouvert une enquête.
Clubhouse, la dernière tendance en matière de réseaux sociaux[1], n’aura pas attendu longtemps avant de faire l’objet d’une enquête diligentée par la Commission Nationale de l’Informatique et des Libertés (CNIL). En effet, le 17 mars dernier, la CNIL annonçait dans un communiqué laconique que la société éditrice de l’application[2] faisait désormais l’objet d’une instruction[3]. Ces investigations sont rendues possibles par le fait que Clubhouse ne dispose pas d’un établissement au sein de l’Union européenne. Dès lors, le mécanisme du guichet unique du Règlement Général sur la Protection des Données[4] (RGPD) ne s’applique pas et le gendarme français du numérique, comme d’ailleurs ses homologues européens, dispose de toute latitude pour justifier l’ouverture d’une instruction et, éventuellement, prononcer des sanctions.
Il faut dire que les reproches formulés à l’encontre du réseau social californien sont particulièrement nombreux et suscitent l’inquiétude du public[5]. Dans une de ses publications[6], abondamment reprise par la presse[7], Alexander HANFF – l’une des figures mondiales de la confidentialité numérique- alertait d’ailleurs sur les dangers de Clubhouse en matière de protection des données et listait notamment plusieurs problèmes précis. Pour ce faire, le co-fondateur de SynData AB s’était attardé sur la politique de confidentialité éditée par la société californienne. Dans ce document, avec une étonnante franchise ou une totale inconscience, l’application dévoile de multiples procédés relatifs aux traitements des données apparaissant contraires aux principes du règlement européen pour la protection des données du 27 avril 2016 (ci-après « RGPD »).
Tout d’abord, les nouveaux membres sont très fortement incités à fournir à l’application l’ensemble des contacts contenus dans leur téléphone. En cas de refus de l’utilisateur, certaines fonctionnalités de l’application demeurent inaccessibles. Par exemple, les membres récalcitrants ne peuvent plus inviter d’autres personnes à rejoindre le réseau. Pareillement, l’utilisateur qui se connecte avec les identifiants d’un autre réseau social, via le système d’authentification unique (Single Sign-On), communique à Clubhouse l’ensemble des contacts, contenus et informations de cet autre réseau social[8]. Ce faisant, l’application enfreint les principes de minimisation des données et de limitation des finalités (article 5 du RGPD), pourtant pierre angulaire du RGPD.
Encore plus problématique, une fois l’accès au carnet d’adresse autorisé par l’utilisateur, Clubhouse indique, pour chaque personne y figurant les contacts dont ils disposent sur l’application. En clair, cela permet, en toute illégalité, d’avoir accès à des informations personnelles sur des tiers sans que le consentement des intéressés n’ait été demandé. Dans le même esprit, le membre reçoit une notification dès qu’un membre de son carnet d’adresse rejoint le réseau. Là encore, cette pratique semble totalement méconnaitre les principes du RGPD susmentionnés.
Surtout, il semble que Clubhouse enregistre temporairement les conversations tenues par ses utilisateurs dans les salons. Selon l’application, ces enregistrements seraient nécessaires pour assurer la modération des échanges et seraient uniquement conservés dans l’hypothèse où un incident serait rapporté par un utilisateur. En dépit de cette justification a priori louable, il n’en demeure pas moins qu’un tel traitement, appliqué aux utilisateurs sans avoir obtenu un quelconque consentement, contrevient très clairement aux dispositions encadrant les données personnelles. D’une part, cela implique que les échanges ne soient pas chiffrés de bout en bout, enfreignant ainsi la Directive relative au traitement des données à caractère personnel de 2002[9]. D’autre part, cette collecte de données est réalisée sans le consentement spécifique de l’utilisateur et, au surplus, conditionne l'accès au service, ce qui constitue une violation des articles 5 (principe de sécurité, principe de proportionnalité et principe de nécessité), 6 (consentement puisqu’il conditionne l'accès à la fourniture de services ce qui ne constitue pas une base juridique valable), et 25 (« protection des données dès la conception » et de « protection des données par défaut ») du RGPD.
Enfin, le dernier point problématique concerne le transfert des données personnelles des utilisateurs vers les Etats-Unis ou d’autres pays situés hors de l’Union européenne, sans base juridique valable. A ce sujet, une enquête menée par le Standford Internet Observatory indique avec inquiétude qu'une partie de l'infrastructure de l’application est gérée par une entreprise chinoise[10]. Par conséquent, il est à craindre que les données de l'application transitent par la Chine.
Face à ces nombreuses critiques et devant le risque de sanctions par des autorités européennes, Paul Davinson, le fondateur de Clubhouse, assure désormais que l'application ne nécessite plus l'accès aux contacts téléphoniques des utilisateurs[11]. Plus globalement, il s’engage à revoir la politique de confidentialité et à la mettre en conformité avec le RGPD. Dans cette perspective, gageons que l’instruction menée par la CNIL, et les sanctions qui peuvent en découler, seront une puissante source de motivation pour accélérer cette salutaire, et pour le moins tardive, initiative.
En définitive, l’exemple de Clubhouse doit une nouvelle fois inciter les acteurs du monde du numérique à une vigilance accrue dans le traitement des données personnelles. En effet, outre des sanctions pécuniaires parfois très lourdes, il faut garder à l’esprit que ce genre de polémique porte irrémédiablement atteinte à la réputation de l’entreprise, élément pourtant particulièrement important dans le secteur ultra-concurrentiel du numérique.
***
Fort d’une riche expérience dans le domaine du traitement des données personnelles, le pôle data du cabinet HAAS se tient à votre disposition pour gérer la mise en conformité de vos traitements de données. Contactez nous.
[1] Créée aux Etats-Unis en mars 2020, cette application, réservée aux utilisateurs d’IPhone, offre à ses membres de discuter vocalement dans des salles de discussion audio sur divers sujets. Contrairement, à d’autres réseaux sociaux, l’inscription à Clubhouse se fait par cooptation et les discussions sont modérées. Une des raisons de son rapide succès réside dans l’apparente exclusivité qui lui confère l’aspect d’un « club privé ». De fait, on retrouve parfois des salons réunissant les personnalités du monde numérique ou du show-business comme Elon Musk ou encore Ophra Winfrey. Pour une présentation de l’application Cf. S. KURUTZ, « What is Clubhouse ? », New York Times, 20 fév. 2021, [en ligne].
[2] Alpha Exploration Co, Inc, société basée à Okland, en Californie.
[3] « La CNIL ouvre une enquête sur l’application Clubhouse », 17 mars 2021, [en ligne].
[4] Ce mécanisme est issu du considérant 127 du RGPD.
[5] Pour preuve, une pétition à l’initiative de l’organisation SumOFUs et visant à vérifier la conformité de Clubhouse au RGPD a recueilli près de 15.000 signataires. Pareillement, la Fédération allemande des organisations de consommateurs accuse Clubhouse de graves lacunes juridiques et d’atteintes à la protection des données. Cf. « Verbraucherschützer mahnen Clubhouse ab », Zeit Online, 27 jan. 2021, [en ligne].
[6] A. HANFF, « Clubhouse – the next privacy nightmare you’ve never heard of…”, [en ligne].
[7] V. notamment M. PROTAIS, « Clubhouse, le nouveau réseau hype, est une pompe à données », L’adn, 11 fév. 2021, [en ligne] ; B. COLLINS, « Clubhouse : The hot new social network has big privacy problems », Forbes, 10 fév. 2021, [en ligne].
[8] Cf. « Clubhouse : les pirates n’ont pas eu besoin d’invitation… », COMK, 4 mars 2021, [en ligne].
[9] En effet, la Directive impose la confidentialité des communications et l'interception de ces communications n’est autorisée qu'avec le consentement de toutes les parties impliquées dans cette communication. Cf. Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), [en ligne].
[10] J. CABLE, M. DEBUTTS, R. DIRESTA. R. PFEFFERKORN, A. STAMOS, D. THIEL, “Clubhouse in China: Is the data safe ?”, Stanford Internet Observatory, 12 fév. 2021, [en ligne].
[11] Cf. K. LYONS, « Clubhouse announces accelerator program for creators on its platform”, The Verge, 14 mars 2021, [en ligne].