Le 12 mars 2021, la CNIL (Commission nationale de l’informatique et des libertés) a interrogé la société américaine Alpha Exploration, éditrice de l’application Clubhouse, pour connaître ses dispositions prises à propos du RGPD. La CNIL veut s’assurer que Clubhouse n’enfreint pas le règlement général sur la protection des données.

La CNIL s’intéresse de près à Clubhouse

Les premières investigations de la CNIL ont permis de constater que Clubhouse n’a aucun établissement au sein de l’Union européenne. Comme le rappelle la Commission : « avant tout, cette enquête doit permettre de confirmer que le RGPD est applicable à la société et de déterminer s’il est méconnu. S’il était confirmé que l’application éditée par cette société ne respecte pas le RGPD, la CNIL pourra, le cas échéant, faire usage de ses propres pouvoirs répressifs ».

À l’origine de cette enquête, une plainte qui fait état des risques pour la vie privée des internautes sur Clubhouse. Par ailleurs, comme l’explique la Commission dans son communiqué du 17 mars 2021 : « une pétition rassemblant à ce jour plus de 10 000 signatures circule actuellement pour alerter la CNIL sur de possibles atteintes à la vie privée par l’application Clubhouse ». La CNIL va donc enquêter sur ces potentielles infractions, et tenter de prendre la mesure de leurs proportions.

Des failles de sécurité déjà repérées

L’application jouit depuis quelques mois d’une belle notoriété. Des personnalités américaines comme Mark Zuckerberg, Elon Musk, ou Oprah Winfrey ont déjà donné des conférences sur cette plateforme. En France, Cédric O, secrétaire d’État en charge de la transition numérique et des communications électroniques, et Franck Riester, Ministre chargé du Commerce extérieur et de l’Attractivité, se sont déjà accommodés de cette plateforme. Ils semblent en apprécier les pratiques qui diffèrent des rendez-vous politiques habituels.

Comme le précise la CNIL : « faute d’établissement dans l’Union, les mécanismes spécifiques au RGPD ne s’appliquent pas ». Cela n’empêchera pas pour autant la Commission d’agir et de faire respecter une application cohérente du RGPD en travaillant avec les autorités européennes.

Il y a quelques jours, des chercheurs du Stanford Internet Observatory publiaient un rapport faisant état d’une faille de sécurité sur l’app. Une raison de plus d’alarmer les enquêteurs de la CNIL. Selon le rapport des chercheurs publié le 12 février 2021, les métadonnées des utilisateurs sont directement basculées sur l’infrastructure back-end d’Agora. Comme ces métadonnées ne sont pas chiffrées, cela pose un problème de taille. Les tiers ayant accès au réseau peuvent accéder aux données en question.