FaceApp : la tendance du moment est-elle sans risque pour les données personnelles? (fr)
Monde > Droit privé > Droit du numérique (fr) > E-commerce > Protection des données personnelles
Dalila Madjid, avocat au barreau de Paris
Juillet 2019
Même les grandes célébrités se prêtent au jeu de cette application populaire en diffusant sur les réseaux sociaux, des photos ou « selfie » de leurs visages vieillis grâce à un filtre.
Cette application mobile, qui connaît un essor considérable, soulève de nombreuses interrogations, en ce que les conditions générales d’utilisation, qui ne sont téléchargeables que sur son site web, demeurent confuses et sa politique de confidentialité, qui est accessible quant à elle directement depuis l’application, n’est pas conforme au Règlement européen sur la protection des données personnelles – RGPD.
En effet, une fois que l’utilisateur a téléchargé l’application et l’a utilisé, en sélectionnant les photos à modifier pour les partager ou diffuser sur les réseaux sociaux, FaceApp se réserve le droit de conserver, modifier et utiliser les clichés des usagers.
- Les risques que représentent FaceApp : les conditions générales d’utilisation et une politique de confidentialité non conformes aux normes françaises et européennes.
Selon la CNIL « l’attractivité ou le caractère ludique du service proposé ne doit pas occulter les éventuelles contre partie concernant l’utilisation de vos données personnelles. Les conditions d’utilisation et politique de confidentialité de l’application vous permettant de savoir ce qui est fait de vos données ».
La CNIL rappelle également que « l’accès d’une application à l’appareil photo et à la bibliothèque signifie que l’application peut accéder à toutes les photos et pas uniquement à celles que l’utilisateur souhaite soumettre ».
Or, aux termes de ses conditions d’utilisations (terms of use) et de sa politique de confidentialité (privacy policy), qui ne sont pas à jour, en effet la première date du 8 mars 2017 et la seconde du 20 janvier 2017, FaceApp n’est pas en conformité avec le RGPD (règlement européen sur la protection des données personnelles), qui est entré en vigueur le 25 mai 2018.
En effet, aussi bien dans ses conditions générales d’utilisation que dans sa politique de confidentialité, il n’est pas prévu que les données personnelles des utilisateurs européens soient protégées en fonction des lois européennes, y compris lorsque FaceApp transfère les photos des utilisateurs hors des pays de l’Union européenne.
Car selon le RGPD, une entreprise qui collecte des données personnelles doit fournir une information claire, sur l’utilisation des services proposés et sur l’exercice des droits de ses utilisateurs.
Ainsi, selon l’article 15 du RGPD, l’utilisateur dispose d’un droit d’accès, l’article 16, d’un droit de rectification, article 17, d’un droit de verrouillage ou d’effacement, article 18, d’un droit de limitation de traitement et l’article 21, d’un droit d’opposition au traitement.
Aux termes de l’article 3 du Règlement européen, dans l’hypothèse où le responsable du traitement des données ou le sous-traitant n’est pas établi au sein de l’Union européenne, il est tenu d’appliquer les dispositions du RGPD, au cas où cet organisme met en oeuvre un traitement lié à l’offre d’un bien ou de services à des personnes dans l’Union européenne, ou si ce traitement est lié au suivi du comportement de ces personnes.
Autrement dit, l’entreprise WIRELESS LAB OOO, société ayant son siège social en Russie, et plus précisément à Saint-Petersbourg, qui gère l’application FaceApp, bien qu’elle ne soit pas établie au sein de l’Union européenne, est tenue d’appliquer le RGPD, dés lors qu’elle fournit un service à des personnes situées en Europe.
Or, il convient d’analyser de plus près certains extraits aussi bien de ses conditions générales d’utilisation que de sa politique de confidentialité, qui sont plus ou moins inquiétants pour la protection des données personnelles de ses utilisateurs et dont les termes sont parfois très confus.
Il est indiqué que les images sont conservées dans une base de données sans précision de la durée, que le contenu utilisateur (le nom de l’utilisateur, les données de localisation, la photo de profil) peut être utilisé à des fins commerciales, que le serveur de l’entreprise enregistre automatiquement certaines informations, comme l’adresse IP, le type de navigateur etc.
Aussi, il est indiqué dans sa politique de confidentialité, que la société se réserve le droit de partager le contenu de l’utilisateur, c’est-à-dire ses photos et de ses informations, à savoir son identifiant, ses données de localisation, et ses données d’utilisation, avec des entreprises faisant partie du même groupe que FaceApp ou bien même avec des partenaires publicitaires, que « ces informations permettraient aux réseaux publicitaires tiers de diffuser des publicités ciblées (…) ».
Nous pouvons également lire la clause suivante : «(…) en vous inscrivant et en utilisant le service, vous consentez au transfert d’informations vous concernant, de l’utilisation et de la divulgation de celles-ci, comme décrit dans la présente politique de confidentialité, vers les Etats-Unis ou tout autre pays dans lequel FaceApp, ses sociétés affiliées ou ses fournisseurs de services disposent d’installation ».
L’autre risque est que FaceApp indique, dans ses conditions générales d’utilisation, qu’en cas de cession, fusion ou acquisition, avec/par une autre société, celle-ci aura les droits d’utiliser et de conserver, sans précision de la durée, toutes les informations et images de l’utilisateur.
Il y a lieu de s’interroger sur l’effectivité de la demande de suppression des données personnelles par l’utilisateur, telle qu’elle est expliquée dans les conditions générales d’utilisation.
Est-ce que celle-ci sera traitée par un responsable? Quel sera le délai de la prise en compte de la demande ? Sachant que le siège social de la société gérant l’application se situe à Saint-Petersbourg et le dirigeant de celle-ci est ressortissant russe ce qui peut compliquer le traitement de la demande.
La procédure apparaît d’autant plus cocasse, que l’utilisateur devra remplir un formulaire « signaler un bogue » et écrire « privacy » (vie privée) au cours de sa demande.
Enfin, la société WIRELESS LAB OOO, basée en Russie, a choisi l’application de la loi californienne et la compétence des tribunaux californiens en cas de litige avec un utilisateur.
Alors qu’en tout état de cause, la loi européenne sur la protection des données personnelles est applicable dés lors que l’utilisateur est français ou est membre d’un Etat de l’Union européenne.
La loi européenne est d’autant plus applicable que les conditions générales d’utilisations et la politique de confidentialité de la société WIRELESS LAB OOO, gérant FaceApp, ne sont pas conformes au RGPD.
En somme, et comme le précise clairement la CNIL, « une application doit proposer certaines informations à l’utilisateur :
1- les photos conservées hors Union européenne ?,
2- la durée de conservation?
3- Communiquées à des tiers?
4- utilisées à d’autres fins (publicitaires, recherches),
5- Moyens d’exercer vos droits RGPD? ».