En effet, le réseau social a pris cette décision après que des membres de la Data Protection Commission Irlandaise se sont manifestés en lui demandant pourquoi il ne s’était pas renseigné plus tôt sur ce sujet spécifique ou n’avait pas fourni les documents nécessaires relatives à la protection des données.
La Commission de Protection des Données (DPC : Data Protection Commission) Irlandaise a récemment déclaré que Facebook Ireland n’avait pas pris la peine de contacter, avant la date butoir du 3 février, la DPC au sujet de son intention de déployer une nouvelle fonctionnalité de rencontre en ligne dans l’UE. Il ne reste pas beaucoup de temps, a déclaré la DPC, étant donné que c’est la première fois que nous en entendons parler, et que Facebook a prévu de la déployer dans les 10 jours suivant cette date.
Nous étions très préoccupés par le fait qu’il s’agissait de la première fois que Facebook Irlande nous parlait de cette nouvelle fonctionnalité […]. Nos inquiétudes se sont amplifiées lorsque nous avons constaté qu’aucune information/documentation ne nous a été transmise le 3 février concernant le Data Protection Impact Assessment [DPIA] ou les processus décisionnels mis en place par Facebook Ireland.
Facebook a parlé pour la première fois d’envahir l’espace de Tinder avec une fonctionnalité de rencontre en ligne pour entrer en relation avec des non-amis en mai 2018 lors de sa conférence des développeurs F8. Ensuite, la plateforme sociale a lancé la fonctionnalité in-app de rencontre en ligne, appelée Facebook Dating, en septembre 2019 aux États-Unis, après l’avoir précédemment déployée dans 19 autres pays, dont la Colombie, le Canada et la Thaïlande.
Facebook déclarait qu’il avait, en fait, rempli les documents nécessaires et les avait transmis lorsqu’on le lui avait demandé. La BBC a cité un représentant de Facebook :
Il est très important que le lancement de Facebook Dating se déroule correctement, nous prenons donc un peu plus de temps pour nous assurer que le produit est prêt pour le marché européen.
Nous avons travaillé avec soin pour créer de solides protections de la vie privée et effectué le Data Protection Impact Assessment [DPIA] que nous avons d’ailleurs partagé avec le [régulateur] à sa demande, et ce avant la date de lancement arrêtée pour l’Europe.
Lorsque TechCrunch a demandé à Facebook pourquoi, s’il était “vraiment important” pour le réseau social de bien préparer ce lancement, il n’avait pas fourni au préalable à la DPC la documentation requise au lieu de laisser le régulateur envoyer des agents dans les bureaux de Facebook pour l’obtenir d’eux-mêmes. Facebook a alors déclaré que l’entreprise ne pensait pas qu’elle était obligée de le faire :
Nous n’avons aucune obligation légale d’informer l’IDPC des lancements de produits. Cependant, par courtoisie envers le bureau de la Data Protection Commission, qui est notre principal régulateur pour la protection des données en Europe, nous l’avons informé de manière proactive de ce projet de lancement, et ce deux semaines à l’avance. Nous avions achevé le Data Protection Impact Assessment [DPIA] bien avant le lancement européen, que nous avons transmis à l’IDPC suite à sa demande.
Le Règlement Général sur la Protection des Données (RGPD) exige un DPIA chaque fois qu’un nouveau projet, susceptible d’impliquer “un risque élevé” pour les données personnelles d’autrui, démarre, que ce soit par le profilage individuel ou le traitement de données sensibles à grande échelle.
Une application de rencontre en ligne liée à la quantité astronomique de données personnelles détenues par Facebook rentre certainement dans cette catégorie.
Facebook n’a donné aucune indication quant à la date de sortie de Facebook Dating dans l’UE.
Dernier podcast Sophos-Naked Security
Billet inspiré de Facebook ices in-app dating in EU after questions from regulator, sur Sophos nakedsecurity.