La Cnil s’attaque à ClubHouse

Après l’Allemagne, c’est au tour de la France de s’attaquer à Clubhouse. La Cnil a annoncé hier l’ouverture d’une enquête sur ce réseau social qui mise tout sur l’audio et la cooptation et dont le respect de la vie privée de ses utilisateurs a déjà donné lieu à de nombreuses publications. 

Clubhouse et la confidentialité, ça fait deux. Le constat n’est pas neuf : dès que l’application a commencé à se populariser, des chercheurs de Stanford ont pointé du doigt ses nombreuses failles. Le réseau social, qui privilégie l’audio et n’est accessible que sur invitation, est d’origine américaine, certes. Il est en effet édité par Alpha Exploration Co., une société basée aux États-Unis. 

Mais son backend provient d’un prestataire chinois, Agora, et l’application s’appuie sur son infrastructure. Voir des paquets de données et des pings transiter par la République Populaire de Chine a donné des sueurs froides aux Américains. D’autant que les données, enregistrements audio compris, voyagent en clair sur les serveurs de l’entreprise. 

Pétition

Il ne s’agit pourtant que le la face émergée de l’iceberg que représente Clubhouse. Et cette étude de Standford marquait le coup d’envoi d’enquêtes et d’autres analyses de l’application et de ses règles d’utilisation. Au point que, en France, une pétition a circulé réclamant l’ouverture d’une enquête par la Cnil, récoltant quelque 15 000 signatures au passage.

En parallèle, saisi d’une plainte, le gendarme des données personnelles a annoncé hier ouvrir l’enquête que demandait la pétition. “La CNIL a ainsi ouvert une instruction et effectué des premières vérifications qui révèlent que cette société n’a aucun établissement dans l’Union européenne” explique le régulateur.

Avec pour effet immédiat que, faute de représentation sur un territoire de l’UE, le mécanisme de guichet unique ne s’applique pas. Ce qui laisse toute latitude à la Cnil pour se pencher sur le cas Clubhouse et d’éventuelles infractions au RGPD. 

L’enquête doit permettre de confirmer que le RGPD est applicable à la société et de déterminer s’il est méconnu. S’il était confirmé que l’application éditée par cette société ne respecte pas le RGPD, la CNIL pourra, le cas échéant, faire usage de ses propres pouvoirs répressifs” écrit la Cnil.