Tinder produit 800 pages d’informations personnelles en un clic

Une française demande un accès à ses données personnelles à une application de rencontre en ligne !

Nous pouvons saluer cette application qui est en capacité de répondre de façon exhaustive à l’exercice du droit d’accès, c’est déjà une belle prouesse.

Nous pouvons également saluer que cette application considère comme informations personnelles toutes les informations qui sont rattachées au profil de cette « data subject » ou personne concernée et pas simplement des données qui permettent de l’identifier directement.

Quoique nous ne sachions pas si toutes ces informations de géolocalisation lui ont été fournies…

Ce qui la surprend, c’est la quantité d’informations personnelles que possède cette application sur elle, sachant que c’est elle qui en a produit une belle quantité mais que ses interactions avec d’autres personnes en fournissent finalement une quantité tout aussi importante, voire plus importante, et qui finalement identifie plus précisément qui elle est même si ce qui elle est est a relativiser dans un contexte particulier.

C’est d’autant plus important que le sujet est d’ordre privé : la vie amoureuse, sexuelle, les préférences sexuelles, les comportements de séduction, les orientations, etc.

Cette femme se dit impressionnée, puis inquiète sur ce qui pourrait être fait de ses données…

Cette femme étant européenne, le RGDP/GDPR s’applique à ses données personnelles partout où elles sont collectées et traitées dans le monde et donc aussi à TINDER.

Cela signifie quoi ?

La première chose, c’est qu’elle peut exercer son droit d’accès, ce qu’elle a fait et il semble qu’il ait été traité correctement.

Elle pourrait également demander l’intégralité des traitements, ceci incluant les transferts à tous les destinataires des données la concernant et que l’application effectue.

Elle constaterait très certainement que le consentement qu’elle a volontairement donné en cliquant sur une case à cocher lors de son inscription ne correspond pas exactement à un consentement éclairé, tel que le RGDP le définit.

Cela s’apparente donc à une collecte déloyale.

Si la société éditant cette application a réalisé un PIA (analyse d’impact sur la vie privée), elle pourra peut être démontrer que toutes les données qu’elle transfert à des tiers sont totalement anonymisées et ne peuvent permettre de remonter jusqu’à l’identité de l’utilisatrice. Elle pourra peut être également démontrer que tous les moyens de sécurité ont été pris pour protéger les données en cas d’intrusion dans ses systèmes d’information, pour supprimer les risques de compromission des données, et donc d’impact sur la vie privée (un chiffrement solide et fiable, par exemple).

Si ce n’est pas le cas, l’utilisatrice peut porter plainte, seule ou par le biais d’une plainte collective, auprès d’une association agréée pour la représenter et représenter celles et ceux qui porteront l’action avec elle.

Elle pourrait, seule ou en complément de la plainte collective, demander de faire valoir son droit de suppression de ses données auprès des responsables légaux.

Bien que les procédures soient longues et rébarbatives, du fait de l’opacité entretenue sur le sujet de la PRIVACY auprès du grand public, elles existent et les jugements feront jurisprudence !