L’application Face App permet de s’amuser à modifier la photo d’une personne. Elle ne respecte par les règles de protection des données personnelles du RGPD et pourtant elle rencontre un grand succès. Il faut sensibiliser les utilisateurs face aux risques. C’est ce que pointe dans cette tribune Jérôme Soyer, directeur avant-vente pour l’Europe de l’Ouest de la société spécialisée en sécurité Varonis.
Ce type d’application est un fléau pour la protection de la vie privée. Même si les CGU (Conditions générales d’utilisation) de l’application Face App ont été rédigées avant l’entrée en vigueur du RGPD, elles auraient pu et dû être mises à jour.
Face App viole un bon nombre de règles du RGPD
Ça n’a pas été le cas, et l’application, qui fait le buzz cet été, viole un bon nombre des règles édictées par le RGPD et qui sont désormais en vigueur. Le droit à l’oubli est impossible à mettre en place. Les conditions générales d’utilisation expliquent clairement que les données peuvent être partagées, et que les droits sur les photos seraient même transmis à l’acheteur en cas de vente de l’application à une société tierce.
Et nous avons appris que l’application collecterait sans raison la liste des amis Facebook des utilisateurs, et permet à l’utilisateur qui s’est connecté via Facebook de télécharger et modifier sur Face App toutes ses photos stockées sur Facebook. Concernant la collecte des amis, c’est clairement suspect car cela n’a aucun intérêt pour le fonctionnement de l’application.
En France, de tels manquements auraient mené l’entreprise tout droit en justice. Et à juste titre. Nous nous battons pour que sur Internet la vie de nos citoyens – au niveau européen – soit mieux protégée. Grâce à ce long travail mené, aujourd’hui toute utilisation de données personnelles doit nécessiter le consentement de son propriétaire.
Les images modifiées sont cédées à vie
A l’inverse, Face App informe ses utilisateurs dans des CGU extrêmement longues, que peu de personnes lisent, que ces derniers lèguent tout simplement à vie le droit à leurs images (celles modifiées). Certes, Face App n’est pas la seule application à indiquer ce type de CGU, mais ça n’est pas une raison pour laisser passer et de concéder du terrain dans le combat que nous menons.
Le fait est que l’application Face App est russe. De là à se dire que la société éditrice se moque complètement des règlementations telles que le RGPD, il n’y a qu’un pas. Même si le développeur se trouve en dehors de l’Union Européenne, la société traite des données d’utilisateurs européens. Bien qu’elle n’ait pas de bureaux dans l’Union Européenne, le RGPD l’oblige à désigner un représentant sur le sol européen, ce que Face App n’a manifestement pas fait. Il y a donc là une violation supplémentaire de la réglementation à faire valoir.
Nous pouvons également nous interroger sur l’intention initiale de la société. La société Wireless Lab n’a pas communiqué sur le sujet mais si l’idée était dès le début de collecter des images à des fins commerciales, nous serions face à un vrai vol organisé, et à très grande échelle. Malheureusement, il n’y a que peu de chances que la société qui a développé cette application ne soit inquiétée par la loi dont elle dépend.
Sensibiliser les utilisateurs est la priorité
Le travail de sensibilisation des utilisateurs reste donc la priorité. Sur le Google Play, l’application obtient la note de 4,5 sur 5 de l’avis de plus de 2,5 millions d’utilisateurs, même si de nombreux avis tentent d’alerter sur les conditions générales peu regardantes sur la vie privée.
Pour bien comprendre le problème, il faut se rendre compte que personne ne donnerait ses photos, ou son appareil photo rempli de ses photos personnelles à un inconnu. Sur Face App, l’utilisateur doit s’imposer la même vigilance. A partir du moment où elles ont été données, ses photos personnelles peuvent être utilisées à de multiples fins, sans que plus aucun consentement ne soit demandé : à des fins publicitaires, commerciales, dans des vidéos, clips, voire un jour vendues sur le Darkweb, réutilisée pour la création de faux papiers, etc. ? Autant ne pas prendre le risque.