C’est le réseau social tendance en ce moment. La plateforme Clubhouse connaît depuis quelques semaines une croissance fulgurante. Disponible sur invitation - et uniquement sur iPhone -, elle permet à ses utilisateurs de se regrouper dans un salon virtuel (appelé, « room ») pour avoir une conversation, uniquement audio, sur des thèmes divers et des formats plus ou moins interactifs : questions-réponses d’investisseurs, de personnalités politiques, papotage entre amis, interviews de célébrités avec des milliers d’auditeurs ou encore improvisations musicales. Un format plébiscité actuellement, en raison du contexte sanitaire.

Mais aujourd’hui, plusieurs utilisateurs et associations s’inquiètent des risques que la nouvelle application pose en matière de protection des données personnelles. En France, une pétition rassemblant à ce jour plus de 10.000 signatures circule pour alerter sur de possibles atteintes à la vie privée. Alerté, le gendarme français des données personnelles (Cnil) a ouvert ce mercredi une enquête sur la manière dont la nouvelle coqueluche des réseaux sociaux utilise les informations privées de ses usagers. « L’enquête doit permettre de confirmer » si la législation européenne sur la protection des données (RGPD) est bien applicable à la société, et si celle-ci la respecte, a précisé la Cnil.

Les conversations audio des rooms enregistrées ?

Comme pour n’importe quel nouveau média social en plein essor, de nombreuses questions concernant la sécurité et la confidentialité, tant dans le processus d’inscription que dans la manière dont l’appli protège son contenu, se posent aujourd’hui. Les doutes sur la confidentialité des données personnelles apparaissent dès le processus d’inscription. « Lorsqu’une personne est invitée à s’inscrire par un membre, l’application accède à tous ses contacts pour trouver d’autres utilisateurs de Clubhouse. La plateforme a donc accès à tout votre répertoire. Sur quelle base, puisqu’il n’y a pas de consentement ? », s’interroge Me Merav Griguer, avocate chez Bird&Bird et enseignante à Sciences-Po et Assas, spécialisée dans la protection des données personnelles.

« L’application, dont l’adhésion est gratuite, encourage également les utilisateurs à connecter leurs comptes Twitter et Instagram pour trouver des personnes, ou pour que leurs contacts les retrouvent […] De nombreux utilisateurs ont ainsi indiqué que leurs coordonnées avaient été partagées avec d’autres utilisateurs sans leur autorisation. Ce manque de transparence démontre une fois de plus la vérité qui se cache derrière ce dicton bien connu : "Si c’est gratuit, c’est que vous êtes le produit" », ajoute Jonathan Fischbein, responsable de la sécurité de l’information chez Check Point Software.

Plusieurs failles de sécurité ont également été détectées ces dernières semaines. Des experts en cybersécurité ont découvert que des utilisateurs partageaient à distance des informations de connexion, en extrayant des données audio et des métadonnées de Clubhouse vers un site externe. Un utilisateur non identifié a ainsi transmis en continu les conversations audio depuis « plusieurs salons » vers son propre site web tiers. « Enregistrer les conversations d’un utilisateur sans son consentement est contraire au RGPD et à d’autres dispositions légales. Ce qui prouve qu’en termes de sécurité, la plateforme présente de nombreuses failles. Et c’est très problématique », détaille Me Merav Griguer.

Les données des utilisateurs accessibles en Chine ?

L’autre point majeur qui pose problème, c’est la question des transferts de données hors Union européenne. « Dans la politique de confidentialité de Clubhouse, les utilisateurs ne sont pas informés que les données sont transférées aux États-Unis. Il faudrait un cadre juridique pour permettre ce transfert, qui en principe est interdit hors union européenne en vertu du Règlement général sur la protection des données », rappelle l’avocate et enseignante spécialisée dans la protection des données personnelles.

Une enquête menée par le Stanford Internet Observatory (SIO) a par ailleurs permis d’établir que l’infrastructure de base de l’application était assurée par un fournisseur de logiciels d’engagement en temps réel basé à Shanghai (Chine). « Le SIO a découvert que les numéros d’identification uniques des utilisateurs de Clubhouse et les identifiants des forums de discussion sont transmis en clair à son infrastructure centrale, exposant potentiellement ainsi ces détails au gouvernement chinois », précise Jonathan Fischbein, de Check Point Software. Selon les experts, il est donc possible que le gouvernement chinois ait eu accès au contenu audio des utilisateurs.

Une application « victime » de son ascension fulgurante

L’application américaine, qui a vu son utilisation dopée ces dernières semaines par les mesures de confinement adoptées dans le monde entier, semble donc aujourd’hui un peu dépassée par tous ces dysfonctionnements. « C’est une plateforme qui a rencontré un franc et rapide succès, et on se rend compte aujourd’hui que l’aspect juridique n’a pas été si bien ficelé que cela au démarrage. Mais tous ces dysfonctionnements sont rectifiables. La plateforme pourrait rapidement se mettre en conformité avec les exigences en matière de protection des données puisque les principaux manquements ont été identifiés. C’est probablement ce qu’elle va faire dans les prochaines semaines », admet Me Merav Griguer.

En revanche, il y a un élément qui pourrait persister en termes de risque d’atteinte à la vie privée et aux libertés individuelles, « c’est le fait d’organiser des rooms sur des sujets qui touchent à des données très sensibles, comme les convictions politiques, les orientations sexuelles, religieuses… En l’état, il s’agit d’un vivier de données sensibles qui pourraient se retrouver entre les mains de personnes malveillantes. Le risque est réel. Il va donc falloir trouver rapidement des garde-fous, particulièrement sérieux », ajoute l’avocate spécialisée dans la protection des données personnelles.

Mais le plus grand risque aujourd’hui pour Clubhouse, c’est surtout la perte de confiance de ses utilisateurs. Si elle ne souhaite pas perdre une grosse partie de ses abonnés en Europe, la plateforme n’aura d’autres choix que de se mettre en conformité avec la réglementation européenne. « D’autres procédures ont été lancées en Allemagne, et en Italie notamment. Si Clubhouse ne se conforme pas aux exigences, la Cnil - et les autres instances de régulation européenne - seront particulièrement strictes sur le sujet et déploieront tout l’arsenal juridique et répressif dont elles disposent », prévient Me Merav Griguer.