Okcupid vendait vos photos et géoloc sans le dire : la ftc frappe
Trois millions de visages. Autant de trajets domicile-travail, de cafets préférés, de stations de métro. OkCupid a livré ce trésor à un tiers resté dans l’ombre, sans prévenir les concernés, en violation de sa propre charte de confidentialité. Hier, la Federal Trade Commission a scellé un accord qui force le géant Match Group – propriétaire de l’application – à cesser la fraude et à se soumettre à dix ans de audits surprises.
Des promesses rédigées en « invisible »
Le texte que chaque nouvel utilisateur cochait sans lire jurait pourtant : « Nous ne partageons vos données personnelles qu’avec des prestataires ou nos sociétés sœurs, et toujours avec un opt-out explicite. » Sauf que le partenaire mystère n’était ni prestataire ni cousin du réseau Match. Il s’agissait d’une entreprise de marketing prédictif qui a reçu, entre 2014 et 2022, des fichiers bruts contenant photos, coordonnées GPS, orientations sexuelles, réponses aux questionnaires intimes. Aucune clause n’autorisait cela. Aucun utilisateur n’a été averti. Le tout a été découvert grâce à une fuite interne, relayée par un article de presse que la direction a d’abord qualifié de « théorie du complot ».
La FTC épinglé la méthode en détail : dès qu’un membre ouvrait l’app, un flux automatique transmettait ses métadonnées à une API externe, sans encrypter les visages. Résultat : des profils reconstitués sur d’autres sites, des campagnes publicitaires ciblées à la rue près, et, potentiellement, des fichiers revendus à des data-brokers. Le directeur du Bureau de la protection du consommateur, Christopher Mufarrige, résume : « Une photo de profil vaut mille mots, mais ici elle valait surtout des dollars. »
Match group enterre l’affaire pour 2,5 millions de dollars
L’amende paraît dérisoire pour une entreprise qui engrange 800 millions de revenus annuels. Elle n’inclut ni reconnaissance de culpabilité ni dédommagement individuel. Les utilisateurs touchés n’ont toujours pas reçu de notification personnelle. Le groupe s’engage seulement à « ne plus mentir » sur sa politique de confidentialité et à soumettre chaque nouveau contrat de partage de données à un commissaire indépendant.
Reste une question en suspens : le nom du tiers reste confidentiel. La FTC invoque un accord de non-divulgation signé avec la société fautive, ce qui empêche toute action collective. Les avocats spécialisés en vie privée y voient un précédent dangereux : « Si le régulateur cache le nom du voleur, il protège le business model, pas les victimes », raille la juriste Clara Van Ruymbeke.
Entre-temps, OkCupid continue de séduire avec la même phrase en une de l’App Store : « Dating deserves better. » Ironie saignante : pendant que l’algorithme promettait l’amour, il livrait les amants à la plus féroce des courtisanes : la publicité géolocalisée.