Ils étaient 33 millions, discrètement tapis dans l’ombre d’ashleymadison.com. Le piratage du site de rencontres extraconjugales, en juin 2015, a jeté sous les projecteurs publics leurs précieuses données. De leurs adresses à leur numéro de téléphone en passant par leurs préférences sexuelles, tout ce qui devait rester planqué dans les dédales de serveurs sécurisés est devenu accessible à tous. Et rebelote le 24 avril dernier avec le vol de plus d’un million de profils sur beautifulpeople.com!
Ces scandales posent fatalement la question de la protection des données. Certes, les plateformes web ne peuvent garantir leur inviolabilité face à des hackers toujours plus imaginatifs. En revanche, elles peuvent choisir de stocker et d’utiliser les informations de leurs clients à leur guise. A condition, bien sûr, qu’elles aient obtenu leur consentement. Chose souvent aisée, sachant que la majorité des utilisateurs coche la case «J’accepte les conditions générales», sans en avoir lu une seule ligne.
Domaine très sensible
Le sujet est particulièrement délicat pour celles et ceux qui s’inscrivent sur des sites de rencontres pour trouver le grand amour ou toute autre relation intime.
A quelle sauce sont mangées leurs données personnelles, souvent même très confidentielles? C’est ce que nous avons voulu savoir en partenariat avec l’émission On en Parle (RTS-La Première) en nous plongeant dans les méandres de sept grands sites de rencontres qui disposent d’une application pour smartphone.
C’est grâce au précieux concours de François Charlet, juriste spécialisé en droit des technologies, que nous avons pu décortiquer la politique de confidentialité de Happn, Badoo, Lovoo, Meetic, Parship, Tinder et Zoosk. Quelles données sont collectées? Pour quelles raisons? A qui sont-elles transmises? Combien de temps sont-elles conservées? L’utilisateur peut-il y avoir accès facilement ou les effacer? C’est sur la base de ces questions que notre expert a évalué la permissivité des conditions générales (CG), tout comme leur clarté.
Pas rassurant du tout
A la lecture globale de notre tableau, on constate que la couleur rouge – qui frappe les points jugés «insuffisant» – domine sans partage: 48% des cases! L’orange qui signale ce qui est «suffisant» et le vert, pour «bon», ne gratifient respectivement que 27% et 25% des critères. Le cancre, c’est Tinder qui frise le rubicon absolu: hormis une mention «suffisant» pour l’utilisation des données, la colonne se teinte invariablement du rouge de l’insuffisance.
En règle générale, tout ce qu’un utilisateur fournit comme informations sur son profil est collecté. On pense à son identité, son numéro de téléphone, son adresse et à ce qu’il a envie de dévoiler en plus ou que les plateformes lui réclament: ses intérêts, ses revenus, sa formation, sa géolocalisation, etc. Sur ce point, Parship fait mieux que ses concurrents en décrivant les éléments recueillis avec exhaustivité. Mais elle n’est pas moins intrusive pour autant.
Le flou en maître
Après avoir pris connaissance des informations collectées, reste à savoir ce que les applications en font. La plupart restent très vagues en évoquant fréquemment une utilisation à des fins de marketing interne ou dans l’optique de mieux personnaliser leurs offres. Sur ce point Lovoo est plus explicite que ses confrères. Badoo dit ne pas les vendre ou les louer, en précisant toutefois pouvoir partager «des renseignements globaux avec des tierces parties». Une belle mélasse qui témoigne du brouillard ambiant…
C’est d’ailleurs en examinant la transmission des données à des tiers que la confusion entretenue par les sites est la plus éloquente. Happn dit communiquer des informations à des sous-traitants, sans qu’on sache de qui il s’agit. Meetic mentionne des «partenaires sélectionnés» pour le moins obscurs et des sites web tiers. Zoosk, Tinder et Badoo restent eux aussi vagues pour avoir les coudées les plus franches possibles!
Ce qui est certain, c’est que, si votre application est liée à des réseaux sociaux comme Facebook ou Twitter, elle ne va pas se priver d’avoir accès à votre profil, à vos contacts, à vos photos et on en passe! C’est d’autant plus vrai si vous n’avez pas soigneusement réglé vos paramètres de sécurité sur ces réseaux.
Accès très théorique
Après avoir pris conscience de tout ce que ces applications peuvent collecter, vous aurez sans doute envie d’en savoir davantage sur votre compte. D’un point de vue légal, chaque utilisateur a précisément un droit d’accès à ses données pour, le cas échéant, les faire rectifier ou effacer. Sur ce point, Tinder renvoie ses membres sur la page de leur «Profil», alors qu’ils n’y trouveront qu’une infime partie des informations stockées à leur sujet. Jolie pirouette qui tient de la désinformation.
Pour en avoir le cœur net, nous avons suivi un utilisateur de ces sept applis qui a fait une demande d’accès officielle à ses données. Les résultats de ce test sont effarants: un mois après sa requête, seuls Happn et Lovoo ont fourni des renseignements satisfaisants. Meetic s’est contenté d’une réponse-type sans glisser les données personnelles. Et les autres sites n'ont pas livré ce qui leur était demandé. Ce chaos résume à, lui seul, avec quelle légèreté les informations personnelles sont traitées avec légéreté. Et, hormis Happn, qui précise les conserver une année après la clôture d’un compte, les autres sites sont peu loquaces à ce propos.
Tomber sur un cinglé – ou une cinglée – n’est donc pas le seul danger inhérent à l’utilisation des sites de rencontres. L’exploitation des données personnelles est un problème, lui aussi, bien réel. D’où l’importance de garder la maîtrise sur ce qu’on est d’accord de dévoiler aux autres, sans en garder le contrôle. Quelques règles de précaution valent mieux qu’une (lire encadré).
Yves-Noël Grin
Précautions
N’en dites pas trop et gardez vos distances!
Voici quelques précautions pour garder la maîtrise de ses données face aux différents risques qui planent sur l’utilisation des sites de rencontre.
⇨ Choix du site: il existe d’innombrables plateformes et toutes ne sont pas sérieuses. Une brève recherche sur internet en associant le nom du site au mot «arnaque» ou «piège» peut donner des indications précieuses. Il s’agit ensuite de choisir une plateforme qui colle à ses attentes et de s’assurer qu’elle affiche des informations essentielles. On pense notamment à une adresse fiable et à des conditions générales (CG) cohérentes qu’il est pertinent de lire.
⇨ Nom d’utilisateur: le recours à un pseudonyme que personne ne connaît est un bon moyen de protéger son identité et les données qui y sont liées (lieu de résidence, etc.). Ce pseudo doit évidemment être distinct de celui qu’on utilise comme identifiant pour d’autres usages officiels (e-mail, etc.) et ne pas contenir son nom ou son prénom. Dans la mesure du possible, la photo ne devrait pas être la même que celle qui figure sur d’autres réseaux (Facebook, LinkedIn, etc.) pour éviter les recoupements faciles.
⇨ Mot de passe: inutile de rappeler que «1234», «qwerty» ou sa date de naissance sont à bannir. Un bon mot de passe doit idéalement faire huit signes au moins et contenir à la fois des lettres, des chiffres et des caractères spéciaux. Il doit être différent pour chaque compte utilisé.
⇨ Adresse mail: il est judicieux de créer une adresse mail spécialement destinée à cet usage sans que son nom ou son prénom apparaissent dans l’identifiant. Ainsi, on limite le risque que sa vraie identité soit trouvée sur le net par recoupement. C’est une adresse qui peut ensuite servir à communiquer avec les personnes rencontrées de manière sécurisée.
⇨ Données sensibles: ne transmettez jamais votre nom, votre prénom, votre adresse, votre numéro de téléphone, votre e-mail privé, vos coordonnées bancaires ou votre lieu de travail aux autres membres. Ne donnez pas d’informations trop personnelles, confidentielles ou intimes sur votre profil, afin de garder la maîtrise de votre image. Dans la même idée, poster des photos sexy ou d’autres informations compromettantes est extrêmement risqué.
⇨ Pièges à éviter: le bon sens permet souvent de détecter les plans foireux ou les arnaques classiques. Gare aux membres qui évoquent rapidement leurs problèmes financiers, résident ou se connectent à l’autre bout du monde, se montrent trop pressés, trouvent des prétextes pour ne pas discuter par webcam ou encore donnent des détails qui détonnent avec leur profil. Les fichiers reçus autres que les photos (.jpg, etc.) ne devraient pas être ouverts.
⇨ Premier rendez-vous: choisissez un lieu public et fréquenté comme un bar ou un café. Prévenez un proche en lui donnant le plus de détails possibles sur la rencontre prévue (lieu, heure, etc.) et la personne en question. N’acceptez pas que cette dernière passe vous prendre à domicile pour mieux protéger votre vie privée.
