Clubhouse semble avoir grandi trop vite : il y a de nombreux points où il n'est pas compatible avec le règlement européen sur la vie privée.
C'est le réseau social le plus en vogue du moment mais, malgré sa notoriété toujours plus grande, Clubhouse n'a pas réussi à échapper à l'œil vigilant du Garante della Privacy, qui a demandé des informations importantes sur l'utilisation des données des membres. Pour l'appli, en effet, il y a de nombreux points à éclaircir concernant le respect de la réglementation en vigueur en Europe.
La nouvelle de l'intérêt du chien de garde italien pour Clubhouse n'est pas encore officielle, mais les points à éclaircir sont déjà connus :
Les procédures nécessaires mises en place par Clubhouse pour se conformer au Règlement général sur la protection des données (RGPD) de l'UE. En effet, la gestion de l'information par le réseau social basé sur la communication vocale, qui est également fréquenté par d'illustres personnages tels qu'Elon Musk et Mark Zuckerberg, présente encore plusieurs aspects obscurs. Accessible uniquement sur invitation et uniquement aux utilisateurs disposant d'un appareil iOS (du moins pour l'instant), l'application réalisée par Alpha Exploration Company a désormais 15 jours pour clarifier la manière dont elle entend se conformer à la législation européenne en matière de protection de la vie privée.
Clubhouse, les points clés à clarifier au garant
Le premier point sur lequel Clubhouse devra faire la lumière est donc la gestion des données des utilisateurs, des méthodes de stockage aux délais de suppression de ses serveurs. L'accès au carnet d'adresses devra également être bien décrit, compte tenu de l'utilisation massive qu'en fait l'appli lors de la phase d'invitation, ainsi que de la possible analyse biométrique de la voix des utilisateurs, principal outil de communication au sein du réseau social.
En particulier, la référence réglementaire à l'article 13 du GDPR est largement absente de la politique de confidentialité de Clubhouse, tandis que les seules lois intégrées dans la documentation renvoient exclusivement à celles en vigueur dans l'État de Californie. Il en va de même pour le délégué à la protection des données, qui n'est pas mentionné dans la documentation mise à la disposition des utilisateurs. L'impression, à vrai dire, est que Clubhouse a grandi trop vite et n'est pas encore prêt à affronter un obstacle de la dimension (énorme) du RGPD.
Clubhouse, ce qu'il faut savoir
L'un des points saillants est la gestion du carnet d'adresses des contacts sur les smartphones des utilisateurs inscrits. Une fois qu'un utilisateur s'est inscrit, il doit autoriser l'appli à accéder aux noms stockés sur le téléphone afin de profiter des deux invitations disponibles, une procédure qui, selon le délégué à la protection des données Johannes Caspar, chef de la branche allemande de la commission, violerait les dispositions du GDPR.
En outre, l'appli ne serait pas en mesure de distinguer les différents types de contacts en mémoire. C'est le cas rapporté par le chercheur Alex Blanford sur Twitter, qui a récemment publié des captures d'écran montrant comment Clubhouse avait transformé les numéros de téléphone des centres de santé en "amis mutuels" chez certains utilisateurs qui avaient enregistré les coordonnées dans leur carnet d'adresses.
Les mêmes inquiétudes apparaissent également en ce qui concerne le réseau d'amis et de connaissances qui, une fois connecté à l'appli, devient de facto public pour tous les utilisateurs. En effet, le nom de la personne qui a fourni l'invitation à Clubhouse reste visible sur le profil de l'utilisateur, ce qui donne à chacun un outil important pour reconstituer les relations avec les membres du réseau social.
Enfin, les données sont transférées vers des serveurs situés aux États-Unis. Bien que cela soit explicitement indiqué dans la politique, le Privacy Shield qui permettait auparavant une telle opération a en fait été annulé par l'arrêt Schrems II, mettant ainsi en lumière une autre irrégularité présumée qui s'ajouterait ainsi aux doutes soulevés par le Garante.