Fuite de données personnelles au sein du réseau social “Clubhouse”

1./ Cyber News, nouveau média entièrement consacré à la cyber-sécurité, a annoncé le 10 avril 2021 que le nouveau réseau social « CLUBHOUSE » a perdu près de 1,3 million de données personnelles : cybernews

Pour rappel, Clubhouse est un réseau social uniquement basé sur l’audio qui permet, via des salons virtuels et sur invitation, de converser à plusieurs.

Une nouvelle qui attirera sans doute une nouvelle fois l’attention de la CNIL, qui avait d’ores et déjà ouvert une enquête sur cette application quelques semaines auparavant, soit le 17 mars 2021. La CNIL avait ainsi ouvert une instruction et effectué des premières vérifications en la matière.

2. / Suite au développement d’outils de discussion et de visioconférence, souvent gratuits, et n’offrant pas toujours des garanties de protection de la vie privée appropriées pour les utilisateurs, la CNIL a publié quelques règles de vigilance à respecter.

En l’occurrence, les outils de visioconférence se basent sur une technologie de VoIP (voix sur IP) qui permet aux utilisateurs de discuter via leur microphone et/ou leur webcam et nécessitent d’être connectés à internet.

3. / En avril 2020 (soit un mois après le début du confinement lors de la pandémie) et suite au développement massif du télétravail et/ou des cours à distance, la CNIL a publié un article au sein duquel elle a rappelé quelques règles, édictées ci-après.

Pour l’essentiel, la CNIL recommande d’être attentif s’agissant des applications utilisées.

Pour ce faire, cette dernière conseille vivement aux utilisateurs :

• d’une part, de lire les conditions d’utilisation dudit outil, et

• d’autre part, de ne pas utiliser des applications qui ne garantissent pas la confidentialité des communications, ou qui utilisent les données des utilisateurs pour d’autres finalités.

Il sera en effet rappelé qu’en application de l’article 13 du Règlement Général pour la Protection des Données (RGPD), le responsable du traitement est tenu de délivrer aux personnes concernées par le traitement de leurs données, de nombreuses informations obligatoires. Au sein de ces nombreuses informations, le responsable du traitement doit indiquer clairement :

• quelles informations sont enregistrées et réutilisées,

• pourquoi,

• comment elles seront utilisées,

• qui les recevra.

Par ailleurs, la CNIL recommande fortement aux utilisateurs de :

• désactiver leur microphone et leur webcam lorsqu’ils ne les utilisent pas ou de masquer physiquement leur webcam (par exemple avec un bout de ruban adhésif ou un cache),

• fermer l’application lorsque cette dernière n’est plus utilisée,

• redoubler de vigilance lorsque des personnes mineures utilisent ces services (Exemple : les élèves),

• d’utiliser un mot de passe différent de ceux utilisés sur les autres services en ligne,

• limiter le nombre d’informations fournies lors de l’inscription,

• d’éviter de télécharger l’application depuis une source inconnue,

• sécuriser le Wi-fi avec un mot de passe robuste,

• vérifier que l’éditeur a mis en place des mesures de sécurité essentielles, (comme le chiffrement des communications de bout en bout).

4. / Enfin, la CNIL met en avant que : « la gratuité apparente peut être un modèle économique ».

Elle indique à ce titre que : « La gratuité des applications n’est souvent qu’apparente et elles peuvent rentabiliser leur service en traitant des informations vous concernant, comme vos nom et prénoms, adresse courriel, numéro de téléphone, etc. »

Notons qu’à ce jour, la question de la gratuité de l’utilisation d’outils informatiques et de manière générale, d’Internet se pose avec d’autant plus d’acuité au regard des « cookies wall » payants qui fleurissent sur différents sites Internet suite à la nouvelle délibération de la CNIL.

Alors reprenons le contrôle de nos données personnelles et ne les cédons pas par «facilité » !

Emilie PESSIEAU