Protection des données : faut-il arrêter d’utiliser Clubhouse ?

Comment le nouveau réseau social à la mode protège-t-il nos informations personnelles ?

Lancé au début de la pandémie, Clubhouse, le réseau social qui permet de dialoguer dans des salons audio en direct, sort depuis quelques semaines du cercle restreint des “happy few”. Mais, rançon de la gloire, des voix s’élèvent pour alerter les utilisateurs sur ses pratiques en matière de collecte et de protection des données. Qu’en est-il ? 


Pourquoi est-ce important ? 🔥

  • Alors que l’on reproche à Facebook et à Twitter d’être devenus des repaires de trolls et de fake news à l’atmosphère irrespirable, la formule proposée par Clubhouse fait souffler un vent de fraîcheur sur la scène des réseaux sociaux. Dans ses salons de discussion audio en direct, on échange avec respect et courtoisie, on ne s’agresse pas, on réapprend à être en désaccord sans s’étriper.

  • Depuis la fin de l’année, la plateforme, toujours accessible uniquement sur invitation et réservée aux possesseurs d’un iPhone, s’ouvre progressivement à l’extérieur. Clubhouse aurait récemment dépassé les 10 millions d’utilisateurs et serait valorisé autour d’un milliard de dollars.

  • Des articles sont parus aux États-Unis pour dénoncer à la fois la collecte trop large de données par Clubhouse (notamment les enregistrements des conversations et les listes de contacts des utilisateurs) et un niveau de sécurité considéré comme insatisfaisant.


Quelles données Clubhouse collecte-t-il ? 📲

Si l’on se fie à sa politique de protection des données, dont la dernière mise à jour date du 5 mars 2021, Clubhouse collecte essentiellement les données suivantes :

  • Les informations liées au compte utilisateur et au “contenu” ainsi qu’aux “communications” échangées avec les autres utilisateurs (notion peu claire qui ne désigne pas, semble-t-il, les communications audio, traitées ci-après).

  • En termes d’audio, Clubhouse déclare : “Uniquement dans le but de documenter les enquêtes d’incident, nous enregistrons temporairement l’audio dans une room [les salons de discussion] lorsque la room est en direct”. Si un incident est signalé par un utilisateur tant que la room est active, l’enregistrement est conservé par Clubhouse le temps de l’enquête ; sinon, il est supprimé lors de la fermeture de la room.

  • Les informations liées aux contacts de l’utilisateur, pour lui permettre d’inviter ses amis, d’être notifié quand ils ouvrent un compte, ou pour lui recommander de nouveaux contacts.

  • D’autres données, plus classiques, liées au marketing, à l’établissement de statistiques d’utilisation ou encore à la sécurité de la plateforme.


Que dit le RGPD ? 📘

Bien que Clubhouse soit une plateforme américaine, elle doit se conformer au RGPD dès lors qu’elle est accessible aux résidents de l’Union européenne, ce qui est évidemment le cas.

  • Les traitements et les catégories de données traitées sont clairement listés. En matière de conservation des données, toutefois, Clubhouse doit mieux faire : si la durée de conservation des enregistrements audio est assez clairement définie (voir ci-dessus), il est indiqué pour les autres traitements que les données sont conservées “aussi longtemps que nécessaire pour les finalités décrites, tant qu’il existe un besoin commercial, ou aussi longtemps que requis par la loi”. Une formulation vague, pour ne pas dire évasive.

  • En matière d’exercice des droits de l’utilisateur, seuls sont mentionnés les droits garantis par le CCPA le (“RGPD californien”), comme si le RGPD n’existait pas. Clubhouse devrait a minima lister les droits garantis par le règlement européen (accès, rectification, droit à l’oubli, portabilité, etc.) et, idéalement, offrir un moyen simple et intuitif de les exercer. On est bien loin du compte : il n’existe même pas d’option, dans l’application, pour supprimer son compte.

  • Sur les outils de statistique et d’analyse, le bât blesse encore. En application du RGPD, et selon une pratique devenue très majoritaire dans les applications iOS, tous les cookies non essentiels au fonctionnement de l’application ainsi que l’envoi de statistiques (anonymes ou non) devraient être optionnels. Non seulement Clubhouse ne distingue pas entre cookies essentiels et non essentiels, mais la désactivation des statistiques n’est même pas une option.


Alors, faut-il arrêter d’utiliser Clubhouse ? 🔇

  • Sauf preuve du contraire, il n’y a aucune raison de penser que la plateforme conserve nos conversations en dehors des cas de signalement et de modération des contenus. Ces conditions gagneraient toutefois à être plus clairement exposées lors de la création du compte utilisateur, de manière à mieux remplir les obligations du RGPD (et du CCPA) liées au consentement.

  • La politique de protection des données, même récemment mise à jour, dénote une forme d’immaturité en matière de conformité. Elle gagnerait à être plus claire sur les durées de conservation, sur les modalités d’exercice des droits et sur les conditions de sécurité des données traitées.

  • Derrière ces obligations d’information se cachent de véritables chantiers de mise en conformité : politique de suppression des données, interface automatisée d’exercice des droits, chiffrement sécurisé des données… D’ici là, Clubhouse est à utiliser avec modération, comme n’importe quelle application encore en beta.


Pour aller plus loin… 🧐

👉 Qu’est-ce que “Clubhouse”, le réseau social dont raffolent les politiques et influenceurs ?

👉 Charting the Growth of Clubhouse Audio App

👉 Clubhouse’s Security and Privacy Lag Behind Its Explosive Growth

👉 Clubhouse Privacy Policy