Vous swipez sur Tinder. À l'écran, le profil d'à côté affiche un prénom, une photo, un âge et une distance approximative. C'est ce que vous croyez partager en retour : la même chose, à l'envers. Une équipe de chercheurs de KU Leuven, en Belgique, a vérifié. L'équipe (Dhondt, Le Pochat et al.) a décortiqué 15 applications de rencontre géolocalisées et publié leurs résultats à USENIX Security 2024, l'une des conférences les plus exigeantes du domaine. Le constat est net : ce que voient les autres utilisateurs dépasse largement ce que l'interface laisse entendre. Pire, 6 applications sur 15 permettent encore de localiser quelqu'un à l'adresse près (USENIX Security, août 2024). L'étude a été présentée à Paris en juin 2024 lors du Privacy Research Day organisé par la CNIL (CNIL, juin 2024).
Ce que les chercheurs ont regardé
Le périmètre est cohérent : 15 applications téléchargées chacune entre 10 millions et 1 milliard de fois, dont Tinder, Bumble, Hinge, Happn, Meetic, Grindr, OkCupid, Tantan, Hily ou encore LOVOO. L'équipe a créé des comptes, navigué dans chaque application comme un utilisateur normal, puis intercepté le trafic réseau entre l'application et ses serveurs. Deux niveaux d'analyse : ce que l'interface affiche au quotidien et ce qui transite par l'API derrière le décor, invisible à l'utilisateur mais récupérable par quiconque sait ouvrir un proxy. La méthode est documentée et reproductible, ce qui change beaucoup des « études » marketing publiées par les apps elles-mêmes.
Ce qui sort par l'écran
L'interface affiche déjà beaucoup. Sur la majorité des applications testées, les chercheurs ont relevé l'exposition systématique du prénom, de l'âge, de photos et d'une distance. Plusieurs applications, particulièrement celles orientées rencontres LGBT+, exposent aussi l'orientation sexuelle, l'origine ethnique, l'état de santé déclaré (séropositivité notamment) ou les préférences sexuelles. L'article 9 du RGPD interdit en principe le traitement de ces catégories particulières de données (orientation sexuelle, santé, origine ethnique notamment), sauf exceptions strictement encadrées dont le consentement explicite de la personne concernée. L'app peut juridiquement les afficher si vous l'avez accepté. Le fait qu'un inconnu géographiquement proche puisse les récupérer en quelques minutes change pourtant radicalement le risque concret. Dans un pays où l'homosexualité reste pénalement réprimée ou socialement dangereuse, ces données suffisent à exposer une personne.
La face immergée de l’iceberg
C'est la partie la plus saisissante du papier. Au-delà du visible, l'API de plusieurs applications renvoie des informations que l'interface masque délibérément : date de dernière connexion exacte, like donné à un profil tiers, ordre d'apparition dans une file, statut payant ou gratuit, durée passée à consulter telle ou telle fonctionnalité. Un utilisateur qui ignore qu'on le surveille devient un sujet d'étude facile : ses heures de connexion révèlent son rythme de vie, ses likes révèlent ses préférences, ses connexions tardives un soir précis révèlent ce qu'il fait ce soir-là.
Le plus grave concerne la localisation. Les applications affichent une distance arrondie, par exemple « à 3 km ». Cette distance, demandée plusieurs fois depuis différentes positions, permet de trianguler une position exacte. La méthode s'appelle la trilatération et elle est connue depuis dix ans. Tinder a corrigé le problème en 2014 en utilisant un système de grille qui snappe la position sur un point fixe. L'étude montre pourtant que 6 applications sur 15 restent vulnérables en 2024. Concrètement, un harceleur peut localiser sa cible à quelques dizaines de mètres près, jour après jour, sans alerte ni journalisation côté victime.
Le décalage avec ce que disent les politiques de confidentialité
Les chercheurs ont aussi lu les politiques de confidentialité de chaque application. Elles sont, dans l'ensemble, conformes au RGPD : elles listent les catégories de données traitées et certaines reconnaissent même la possibilité de fuites. La conformité formelle ne dit rien de la conformité au principe de minimisation, qui exige de ne collecter ni de partager que ce qui est strictement nécessaire à la finalité. Quand une application affiche systématiquement une distance précise alors qu'une zone large suffirait à proposer des profils pertinents, le principe est violé même si la politique le mentionne dans son texte. Il existe ici un angle mort de l'application pratique du RGPD : l'attention des régulateurs s'est concentrée sur la base légale du traitement (consentement valide ou non) bien plus que sur la juste proportion des données partagées avec des tiers utilisateurs de la même plateforme.
Ce que cela change pour vous
Quelques réflexes ont un effet réel et mesurable. D'abord, désactiver la géolocalisation précise au profit d'une zone large quand l'application le permet. iOS et Android exposent ce choix dans les réglages système, en plus des réglages internes à l'app. Ensuite, retirer des photos contenant des éléments identifiants au-delà du visage : plaque d'immatriculation, devanture de café reconnaissable, vue depuis votre fenêtre, badge professionnel visible. Ces détails ne servent pas le matching et facilitent considérablement le travail d'un harceleur. Enfin, retirer les attributs sensibles que vous n'utilisez pas activement pour filtrer : si vous ne cherchez pas spécifiquement quelqu'un selon votre orientation ou votre statut, la rendre publique sur l'app n'a pas d'intérêt fonctionnel.
Côté droits, vous pouvez à tout moment exercer votre droit d'accès auprès de l'éditeur de l'application, au titre de l'article 15 du RGPD. Vous recevrez l'historique complet de ce qu'il stocke à votre sujet, y compris les données de localisation. C'est souvent éclairant. En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, l'article 34 du RGPD impose à l'éditeur de notifier directement les personnes concernées (sauf dispenses prévues au 34.3). La CNIL peut être saisie via son service de plainte en ligne.
L'étude de KU Leuven n'invente rien : elle confirme avec méthode ce que les rapports d'utilisateurs et les faits divers laissent voir depuis des années. La nouveauté est ailleurs : elle quantifie, elle nomme les apps fautives et elle a été présentée par la CNIL dans le cadre de sa journée de recherche. Le régulateur français connaît le problème. La question n'est plus technique, elle est de savoir combien d'années il faudra avant qu'une mise en demeure tombe sur une application qui aurait pu corriger sa trilatération en quelques jours et a choisi de ne pas le faire.