Clubhouse est dans la tourmente. En plein boom, le nouveau réseau social à la mode est pourtant visé par une pétition réunissant plus de 10.000 signataires qui mettent en cause le traitement des données personnelles. Alertée par une plainte, la Cnil vient de se saisir de l'affaire afin d'ouvrir une enquête.
L'organisme français, qui contrôle notamment la protection des données sur Internet, a «ouvert une instruction et effectué des premières vérifications qui révèlent que cette société n’a aucun établissement dans l’Union européenne. Dans ces conditions, le mécanisme de «guichet unique» du RGPD ne s’applique pas et la Cnil est, comme chacun de ses homologues européens, compétente pour intervenir», prévient-elle sur son site officiel.
Basé sur des conversations audio ouvertes sous formes de salles de discussions thématiques à la manière d'une radio ouverte, Clubhouse n'est pour l'heure qu'accessible via un système d'invitation entre membres. Mais sa croissance s'accompagnent de question légitime quant au respect des données personnelles de ses utilisateurs.
«S’il était confirmé que l’application éditée par cette société ne respecte pas le RGPD, la Cnil pourra, le cas échéant, faire usage de ses propres pouvoirs répressifs», explique le site de la commission qui pourrait imposer une sanction pécuniaire s'élevant à 4 % du chiffre d'affaire mondial ou à 20 millions d'euros.
Des spécialistes en cybersécurité inquiets
Toutefois, plusieurs spécialiste en matière de protection des données et de cybersécurité ont déjà pointé du doigt certaines interrogations au sujet de Clubhouse. C'est le cas d'Arnaud Lemaire, directeur technique France de F5, entreprise américaine spécialisée dans la cybersécurité. «Clubhouse a été créé par des entrepreneurs, vétérans de la Silicon Valley, ayant trouvé un bon concept et habitués au marketing et à générer du buzz médiatique. Cependant, ne maîtrisant pas le volet technique, ils ont délégué toute la partie infrastructure complexe et l’hébergement des données à un tiers chinois, la société Agora, nouveau spécialiste chinois de l’hébergement qui commence à se faire un nom. En d’autres termes, Clubhouse n’a pas la main sur la chaine de communication de bout en bout, ce qui signifie que des données transitent par les serveurs et le réseau d’Agora sans que l’on n’en sache beaucoup sur ce qu’il peut être fait des données là-bas et qui peut y avoir accès», alerte-t-il.
Parallèlement, la collecte des données entre utilisateurs est également sujet d'inquiétude. Dans son fonctionnement actuel, Clubhouse est basé sur un système d'invitation. Ainsi, quand une personne reçoit une invitation par un membre, l'application peut accèder à tous ses contacts afin de chercher d'autres utilisateurs de Clubhouse. Parallèlement, comme d'autres applis mobiles, Clubhouse permet d'être couplé aux comptes Twitter et Instagram de ses nouveaux venus afin d'enrichir (encore) la base de contacts.
«Quelles sont les données exactes que Clubhouse extrait ou partage avec d'autres applications de médias sociaux ? Ce n’est pas clair. De nombreux utilisateurs ont indiqué que leurs coordonnées avaient été partagées avec d'autres utilisateurs de Clubhouse sans leur autorisation», explique ainsi Jonathan Fischbein, responsable de la sécurité de l'information chez Check Point Software.
Le problème de l'enregistrement des conversations
Autre problème pointé du doigt : l'enregistrement des conversations audio. Sur ce point, Clubhouse explique que ces enregistrements sont provisoirs, en vue de modérer les propos, voire d'améliorer la qualité audio. Problème, cet enregistrement ne serait pas fait avec le consentement express des utilisateurs. «Ceci est contraire au RGPD», poursuit Arnaud Lemaire, chez F5 qui prévient qu'«aucune conversation sur ce réseau social n'est privée et encore moins confidentiel».