Les emplacements des utilisateurs de l’application de rencontres ont été collectés et vendus depuis au moins 2017
Grindr est une application de rencontre conçue pour les hommes homosexuels, bisexuels ou bicurieux disponible sur iOS, Blackberry OS et Android. Elle permet de discuter et d’échanger avec des hommes géolocalisés. L’application est numéro au monde et revendiquait en 2021 plus de 6 millions d’utilisateurs dans 192 pays. En 2022, elle a dépassé la barre des 10 millions de téléchargement sur Play Store. À la vue de ces chiffres, on peut imaginer la quantité d’informations utilisateurs dont dispose la société.
Le partage des données utilisateurs
Pour mémoire, en janvier 2018, Beijing Kunlun Tech qui détenait déjà 60 % du capital de Grindr LLC d’une valeur de 93 millions de dollars à ce moment-là, acquis en janvier 2016, a racheté la totalité de l’entreprise pour 152 millions de dollars supplémentaires. Cependant, ce n’est pas l’achat de Grindr, basé à West Hollywood avec plus de 27 millions d’utilisateurs, dont 4,5 millions actifs par jour, qui semble poser problème. En effet, malgré les assurances données à la Commission sur l’investissement étranger aux États-Unis (CFIUS) que la société chinoise n’aurait pas accès aux données sensibles des Américains par l’intermédiaire de ses bureaux en Chine, l’acquisition a entraîné une réduction rapide de son personnel d’ingénierie américain par des départs et licenciements. Beijing Kunlun a également mis un accent accru sur le développement et le traitement des données dans son bureau de Beijing, a déclaré un ancien employé connaissant bien la décision.
Les préoccupations relatives à la protection des données personnelles ont été au cœur de l’enquête de CFIUS au départ. Reuters a rapporté en mars 2019 que CFIUS se concentrait sur l’ensemble des données sensibles que Grindr recueille sur ses utilisateurs : emplacement, préférences sexuelles, statut VIH et photos qui sont échangées lors des discussions. Les autorités américaines craignaient également que le gouvernement chinois puisse facilement exiger que Kunlun lui communique ces données, bien qu’elle soit une société privée.
Mais, selon Reuters, ce sont des entretiens avec plus d’une douzaine de sources connaissant les activités de Grindr, y compris les anciens employés, qui ont pour la première fois mis en lumière ce que l’entreprise chinoise faisait des données sensibles sur les citoyens américains et comment elle a ensuite essayé d’arranger les choses pour sauver son application. En effet, pendant que la société chinoise réorganisait Grindr, certains ingénieurs de l’entreprise à Pékin ont eu accès à la base de données des utilisateurs pendant plusieurs mois, d’après les huit anciens employés.
C’est au début de 2018 que CFIUS qui est chargé d’examiner les acquisitions étrangères de sociétés américaines a commencé à examiner l’accord de Grindr pour voir s’il soulevait des risques pour la sécurité nationale, selon une source proche de la société. En septembre 2018, l’organisme a ordonné à Kunlun de restreindre l’accès de ses ingénieurs basés à Pékin à la base de données de Grindr, selon la même source. Toutefois, une porte-parole de Grindr a déclaré que « la confidentialité et la sécurité des données personnelles de nos utilisateurs sont et seront toujours une priorité absolue ».
N’empêche qu’en avril 2018, l’application de rencontre gay a partagé le statut sérologique de ses utilisateurs avec des entreprises tierces. Le site américain BuzzFeed News a rapporté en avril 2019 que Grindr aurait transmis le statut VIH des personnes inscrites sur ce réseau à deux entreprises, Apptimize et Localytics. Après la révélation de l’affaire, Grindr avait reconnu que « la révélation d’un statut VIH peut être un sujet sensible » et avait interrompu le partage de ces données. Mais cela n’a pas empêché l’application de continuer d’exposer l’emplacement de ses utilisateurs ainsi que d’autres informations de profil y compris le statut VIH. Grindr a même fait l’objet de poursuite aux USA en janvier 2019 par un utilisateur après des mois de harcèlement au travers de Grindr pour iOS et Android.
Mise en vente des données de géolocalisation depuis un réseau publicitaire
Les mouvements précis de millions d’utilisateurs de l’application de rencontres Grindr ont été collectés à partir d’un réseau publicitaire numérique et mis en vente, selon des personnes proches du dossier.
Les informations étaient disponibles à la vente depuis au moins 2017, et des données historiques peuvent encore être obtenues, ont déclaré les sources. Grindr a coupé il y a deux ans le flux de données de localisation vers tous les réseaux publicitaires, mettant ainsi fin à la possibilité d’une telle collecte de données aujourd’hui, a déclaré la société.
La disponibilité commerciale des informations personnelles, qui n’a pas été signalée auparavant, illustre le marché florissant des détails parfois intimes sur les utilisateurs qui peuvent être récoltés à partir d’appareils mobiles. L’année dernière, un responsable catholique américain a été dénoncé en tant qu’utilisateur de Grindr dans un incident très médiatisé qui impliquait l’analyse de données similaires.
Les responsables de la sécurité nationale ont également fait part de leur inquiétude à ce sujet : les données de Grindr ont été utilisées dans le cadre d’une démonstration pour diverses agences gouvernementales américaines sur les risques liés au renseignement des informations disponibles dans le commerce, selon une personne impliquée dans la présentation.
Les clients d’une société de publicité mobile ont pu pendant des années acheter des données de mouvement de téléphone en masse qui comprenaient de nombreux utilisateurs de Grindr, ont déclaré des personnes proches du dossier.
Les données ne contenaient pas d’informations personnelles telles que des noms ou des numéros de téléphone. Mais les données de Grindr étaient dans certains cas suffisamment détaillées pour déduire des choses comme des rencontres amoureuses entre des utilisateurs spécifiques en fonction de la proximité de leur appareil les uns par rapport aux autres, ainsi que pour identifier des indices sur l’identité des personnes telles que leurs lieux de travail et leurs adresses personnelles en fonction de leurs schémas, habitudes et routines, ont déclaré des personnes familières avec les données.
« Depuis début 2020, Grindr a partagé moins d’informations avec des partenaires publicitaires que n’importe laquelle des grandes plateformes technologiques et la plupart de nos concurrents », a déclaré Patrick Lenihan, porte-parole de Grindr. Il a déclaré que la société payait un prix pour la réduction des données partagées, y compris une moindre qualité des publicités pour les utilisateurs et une baisse des revenus. Lenihan a ajouté : « Les activités qui ont été décrites ne seraient pas possibles avec les pratiques de confidentialité actuelles de Grindr, que nous avons mises en place depuis deux ans ».
Les données de géolocalisation sont de plus en plus utilisées pour des raisons qui vont au-delà de leur objectif. Plus tôt cette année, des chercheurs ont repéré des signes de l’invasion russe en Ukraine avant qu’elle ne soit connue du public en regardant les fonctionnalités de Google Maps conçues pour montrer les retards de circulation. Google a ensuite désactivé ces fonctionnalités pour éviter qu’elles ne soient exploitées de manière à affecter la sécurité des personnes sur le terrain.
Grindr en 2019 a déclaré qu’il s’agissait de la plus grande application de réseautage social au monde pour les personnes gay, bi, trans et queer, avec « des millions d’utilisateurs quotidiens qui utilisent notre technologie basée sur la localisation dans presque tous les pays aux quatre coins de la planète ».
L’entreprise ne pensait pas que le partage de ce type de données poserait un risque pour la vie privée
Lorsque l’entreprise a commencé à partager les données de localisation de ses utilisateurs avec les réseaux publicitaires, les dirigeants de l’entreprise pensaient que les données ne posaient pas ce type de risques pour la vie privée, selon un ancien cadre supérieur. À l’époque, les dirigeants de l’industrie de la publicité avaient déclaré à Grindr que les publicités hyperlocales pour les établissements situés juste à côté de leurs utilisateurs allaient remodeler les budgets marketing, a déclaré l’ancien employé.
L’idée était que, grâce à ce que l’on appelle des échanges d’annonces en temps réel, les utilisateurs recevraient des messages ciblés sur les restaurants, les bars ou les hôtels les plus proches.
Le fonctionnement des enchères en temps réel est que chaque fois qu’un utilisateur de smartphone ouvre une application ou un site Web disposant d’un espace publicitaire, l’appareil partage des données sur le téléphone avec un réseau publicitaire pour aider à micro-cibler les publicités. Ces données peuvent inclure l’emplacement géographique précis du téléphone, si l’utilisateur a autorisé une application à le connaître, ainsi que des données démographiques sur le propriétaire et des journaux détaillés sur l’état du téléphone. La plupart des utilisateurs choisissent de partager leur emplacement avec Grindr afin d’être connectés avec d’autres utilisateurs à proximité. Cette fonctionnalité est ce qui l’a rendue attrayante en tant qu’application lors de sa création en 2009.
Dans un processus informatisé qui se déroule en quelques millisecondes, les annonceurs enchérissent sur la diffusion d’une annonce et le plus offrant l’emporte. Les consommateurs ignorent en grande partie que le processus se produit sur leurs appareils chaque fois qu’ils chargent une application ou une page Web ou combien de données sont partagées avec des tiers.
La plupart des applications participent à des échanges d’annonces en temps réel qui exposent leurs détails à des centaines ou des milliers de parties inconnues. Cependant, Grindr et d’autres applications conçues pour encourager les utilisateurs à partager leur emplacement génèrent des ensembles de données particulièrement spécifiques qui peuvent être utilisés pour reconstruire des données sur des utilisateurs individuels.
Être gay reste un crime dans un certain nombre de pays à travers le monde et de tels ensembles de données pourraient mettre les gens en danger de poursuites et de sanctions, la peine dans certains pays étant la mort. Grindr a déclaré qu’il ne diffusait pas d’annonces dans les régions où être gay est illégal, ce qui empêche les informations de ces utilisateurs d’échanger des publicités.
Même dans les pays où être gay est légal, cela peut toujours rester une menace de chantage pour ceux qui ne le vivent pas ouvertement. Le gouvernement américain est intervenu pour forcer une entreprise chinoise à se départir de Grindr pour des raisons de sécurité nationale en 2019, citant le risque de chantage à l’aide des données de l’application et la possibilité que le gouvernement chinois utilise les données de l’application à des fins de surveillance.
Ces risques ne sont pas hypothétiques.
Source : WSJ, developpez.com
