Grindr permet aux ingénieurs chinois de voir les données de millions d'Américains
Grindr permet aux ingénieurs chinois de voir les données de millions d'Américains
Incitant les autorités US à ordonner la cession de l'application
Pendant que la guerre commerciale fait rage entre les Etats-Unis et la Chine et que la sécurité en ligne est au centre des préoccupations du gouvernement Trump, Beijing Kunlun Tech Co Ltd, une entreprise chinoise qui détient Grindr, une application de rencontre en ligne orientée vers la communauté gay disponible sur iOS, BlackBerry OS et Android, a fait ce qu’il ne fallait. En effet, Reuters a rapporté que le propriétaire chinois de Grindr LLC a donné à certains ingénieurs basés à Pékin l'accès aux informations personnelles de millions d'Américains, tels que des messages privés et le statut VIH. Ces informations proviennent de huit anciens employés de Grindr, licenciés ou démissionnaires après l’acquisition de la totalité de l’entreprise par Beijing Kunlun. Suite à cette pratique qui n’avait pas été déclarée lors de la reprise de l’application, les autorités américaines ont demandé que le propriétaire chinois cède Grindr.
En janvier 2018, Beijing Kunlun Tech qui détenait déjà 60 % du capital de Grindr LLC d’une valeur de 93 millions de dollars, acquis en janvier 2016, a racheté la totalité de l'entreprise pour 152 millions de dollars supplémentaires. Cependant, ce n’est pas l’achat de Grindr, basé à West Hollywood avec plus de 27 millions d'utilisateurs, dont 4,5 millions actifs par jour, qui semble poser problème. En effet, malgré les assurances données à la Commission sur l'investissement étranger aux États-Unis (CFIUS) que la société chinoise n'aurait pas accès aux données sensibles des Américains par l'intermédiaire de ses bureaux en Chine, l'acquisition a entraîné une réduction rapide de son personnel d'ingénierie américain par des départs et licenciements. Beijing Kunlun a également mis un accent accru sur le développement et le traitement des données dans son bureau de Beijing, a déclaré un ancien employé connaissant bien la décision.
Les préoccupations relatives à la protection des données personnelles ont été au cœur de l’enquête de CFIUS au départ. Reuters a rapporté en mars que CFIUS se concentrait sur l'ensemble des données sensibles que Grindr recueille sur ses utilisateurs : emplacement, préférences sexuelles, statut VIH et photos qui sont échangées lors des discussions. Les autorités américaines craignaient également que le gouvernement chinois puisse facilement exiger que Kunlun lui communique ces données, bien qu’elle soit une société privée.
Mais, selon Reuters, ce sont des entretiens avec plus d'une douzaine de sources connaissant les activités de Grindr, y compris les anciens employés, qui ont pour la première fois mis en lumière ce que l'entreprise chinoise faisait des données sensibles sur les citoyens américains et comment elle a ensuite essayé d’arranger les choses pour sauver son application. En effet, pendant que la société chinoise réorganisait Grindr, certains ingénieurs de l'entreprise à Pékin ont eu accès à la base de données des utilisateurs pendant plusieurs mois, d’après les huit anciens employés.
C’est au début de 2018 que CFIUS qui est chargé d’examiner les acquisitions étrangères de sociétés américaines a commencé à examiner l'accord de Grindr pour voir s'il soulevait des risques pour la sécurité nationale, selon une source proche de la société. En septembre dernier, l’organisme a ordonné à Kunlun de restreindre l'accès de ses ingénieurs basés à Pékin à la base de données de Grindr, selon la même source. Toutefois, une porte-parole de Grindr a déclaré que « la confidentialité et la sécurité des données personnelles de nos utilisateurs sont et seront toujours une priorité absolue ».
N’empêche qu’en avril 2018, l’application de rencontre gay a partagé le statut sérologique de ses utilisateurs avec des entreprises tierces. Le site américain BuzzFeed News a rapporté en avril que Grindr aurait transmis le statut VIH des personnes inscrites sur ce réseau à deux entreprises, Apptimize et Localytics. Après la révélation de l’affaire, Grindr avait reconnu que « la révélation d’un statut VIH peut être un sujet sensible » et avait interrompu le partage de ces données. Mais cela n’a pas empêché l’application de continuer d'exposer l'emplacement de ses utilisateurs ainsi que d'autres informations de profil y compris le statut VIH. Grindr a même fait l’objet de poursuite aux USA en janvier par un utilisateur après des mois de harcèlement au travers de Grindr pour iOS et Android.
Les préoccupations de protection de données personnelles ont entrainé l’ordre de cession de Grindr
Au cours de ces deux dernières années, le CFIUS a mis davantage l'accent sur la sécurité des données personnelles en empêchant les entreprises chinoises d'acheter les sociétés américaines telles MoneyGram International Inc et la société de marketing mobile AppLovin. Selon Reuters, le groupe d’expert du CFIUS craignait probablement que la base de données de Grindr ne contienne des renseignements compromettants sur le personnel qui travaille dans des domaines comme l'armée ou le renseignement et qu'elle ne se retrouve entre les mains du gouvernement chinois. Rod Hunter, avocat chez Baker & McKenzie LLP qui a conduit les enquêtes de la CFIUS sous l'administration du président George W. Bush, a déclaré :
« Le CFIUS se fonde sur l'hypothèse que, par des moyens légaux ou politiques, les agences de renseignements chinoises pourraient facilement accéder aux renseignements détenus par des entreprises privées chinoises si elles le voulaient ».
Selon Reuters, deux autres anciens responsables de la sécurité nationale ont déclaré que l’achat de l’application de rencontre pour gay avait renforcé les craintes des États-Unis quant à la possibilité d'une mauvaise utilisation des données à un moment où les relations entre la Chine et les États-Unis étaient tendues. Mais, dans un fax adressé à Reuters, les autorités chinoises du ministère des Affaires étrangères ont déclaré être au courant de la situation avec Grindr et ont exhorté les États-Unis à permettre une concurrence équitable et à ne pas politiser les questions économiques, selon le rapport de Reuters. On pouvait lire dans le fax :
« Le gouvernement chinois encourage toujours les entreprises chinoises à mener une coopération économique et commerciale à l'étranger conformément aux règles internationales et aux lois locales ».
De l’ordonnance du tribunal pour restreindre l’accès aux données à la demande de cession de Grindr en passant par les efforts de Kunlun pour rattraper le coup
Avant l’acquisition de Grindr, les ingénieurs de Kunlun n'avaient pas accès à la base de données de Grindr, selon six anciens employés. Mais après, le géant chinois de jeux a chargé des ingénieurs à Pékin d'améliorer l'application, selon les anciens employés. Ils ont également déclaré que l’entreprise a transféré, ensuite, une partie importante des activités de Grindr à Beijing, ce qui a poussé certains entrepreneurs externes à mettre fin à leur collaboration avec la société. Kunlun a également licencié la plupart des ingénieurs américains de Grindr, ont déclaré les anciens employés.
Selon Reuters, certains employés américains avaient, par ailleurs, fait part de leurs préoccupations au sujet de la protection de la vie privée lorsqu’ils ont appris que leurs collègues chinois avaient accès à la base de données de Grindr. Mais on leur a dit qu'ils ne devaient pas s'inquiéter, ont-ils déclaré.
En septembre 2018, CFIUS, qui avait commencé à mener ses enquêtes bien avant, a donné l’ordre à Kunlun de restreindre l’accès à la base de données des utilisateurs. Un mois après, Kunlun a déclaré que l'accès de l'équipe de Beijing à la base de données de Grindr avait été restreint, selon une source proche de la société.
L’entreprise chinoise a ensuite mené une série d’actions afin de rassurer les autorités américaines. Elle a engagé une firme de cybercriminalité et d'un vérificateur indépendant à la demande du CFIUS pour rendre compte de la conformité de Grindr et s'assurer que les données étaient protégées, a rapporté Reuters. Kunlun a même fait de Grindr Beijing une entité juridique différente en transférant certains employés chinois de Kunlun à Grindr. Kunlun a même fermé le bureau de Grindr à Pékin pour des raisons de politique générale et pour des préoccupations concernant la confidentialité des données, d’après lui.
Mais les autorités américaines chargées de l’examen des acquisitions étrangères aux USA ont fini par demander à Kunlun de céder Grindr et de se départir de sa participation dans l’entreprise. Reuters a révélé cet ordre pour la première fois en mars, mais dit n'avoir pas pu déterminer ce qui a déclenché les préoccupations initiales de la CFIUS au sujet de l'affaire Grindr, ni si les mesures prises par Kunlun visaient directement à apaiser les craintes du comité.
Selon une source proche de l’entreprise, après avoir essayé encore en vain de sauver l’application Grindr jusqu'à la semaine dernière, Kunlun a dit qu'elle la vendrait en juin 2020.
L'approche de plus en plus stricte à l'égard des entreprises chinoises du gouvernement américain, qui ne veut même pas courir le moindre risque que le gouvernement chinois avec qui il livre une guerre commerciale depuis l’année dernière ait accès à des informations privées, vient d’avoir raison d’une autre entreprise chinoise. Huawei continue de subir les conséquences de cette approche alors que le géant chinois était prédestiné être un acteur majeur dans la transition vers la 5G.
Source : Reuters
Et vous ?
Que pensez-vous ?
Lire aussi
Répondre avec citation
Partager