Karine Le Marchand fait l’objet d’un contrôle de la CNIL avant même le lancement commercial de son application de rencontres, « Le club des belles âmes », révèle BFM Business. Promettant une vérification des profils plus poussée que sur les plateformes existantes, le projet suscite d’ores et déjà des interrogations sur la conformité au Règlement général sur la protection des données (RGPD). Voici ce que l’on sait et ce que craignent les autorités.

Un questionnaire de plus de cent questions et des pièces très personnelles

L’application imaginée par l’animatrice et productrice repose sur un principe simple : rapprocher des personnes issues de milieux socio-économiques comparables. Pour y parvenir, les futurs utilisateurs devront répondre à un vaste questionnaire, annoncé comme comportant « plus de cent questions ».

Parmi les informations demandées figurent le niveau d’études, la situation familiale, l’orientation sexuelle et des photographies — éléments classiques pour des sites de rencontres. Mais le dispositif va plus loin et exige des pièces plus sensibles : fiches de paie et déclarations de patrimoine font partie des documents demandés pour compléter un profil.

Selon la présentation du service, les profils présentant des fiches de paie et des patrimoines similaires seront regroupés, afin de favoriser des rencontres au sein de cercles jugés « équivalents ». Le fonctionnement prévoit par ailleurs une limitation des ruptures unilatérales : les utilisateurs ne pourraient pas mettre fin à un « date » de manière isolée, un choix visant à proscrire le « ghosting ».

Des données qualifiées de sensibles et des règles strictes du RGPD

Ces demandes ont attiré l’attention de la CNIL, qui a confirmé à BFM Business qu’elle examinait le projet. Pour l’avocat Antoine Chéron, spécialiste de la propriété intellectuelle interrogé par la même station, l’application « collecte un volume très significatif de données personnelles » et certaines d’entre elles sont « sensibles au sens de la RGPD ».

L’article 9 du RGPD énumère les catégories de données considérées comme sensibles : « les données à caractère personnel, qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, ainsi que les données génétiques, biométriques, concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique ». Le traitement de telles informations n’est autorisé que dans des conditions strictement encadrées par le règlement.

La CNIL rappelle, selon BFM Business, que « le consentement de l’utilisateur (ne peut justifier à lui seul) de collecter n’importe quelle donnée ». L’autorité précise que l’application doit « privilégier les documents les moins intrusifs possibles (…) et doit être en mesure de documenter et justifier la pertinence de chaque donnée collectée ».

Risques techniques et juridiques

Les régulateurs pointent également un risque technique majeur : en cas de piratage, la concentration d’un volume important de données individuelles — dont des éléments financiers et des informations sur la vie sexuelle — accroît considérablement l’impact pour les personnes concernées. La CNIL émet donc des exigences fortes en matière de minimisation des données et de protection.

Sur le plan juridique, des manquements pourraient conduire à des sanctions, voire, selon certains observateurs cités par BFM Business, à l’interdiction de la mise sur le marché d’une application ne respectant pas le RGPD. Ce scénario dépendra de l’analyse finale de la CNIL et, le cas échéant, des mesures proposées par l’équipe du projet pour réduire l’intrusion des données demandées.

Quelle réponse de la part du projet ?

Face aux critiques, Karine Le Marchand et son équipe ont justifié la collecte de documents comme nécessaire pour garantir la cohérence du concept : permettre des rencontres entre personnes issues de milieux similaires. Ils présentent ces mesures comme un moyen d’assurer la sincérité des profils et d’éviter certaines dérives des applications de rencontres classiques.

Reste que la CNIL exige que chaque élément récolté soit clairement justifié et proportionné à l’objectif poursuivi. Avant toute mise en ligne définitive, l’autorité de protection des données pourra demander des ajustements, limiter certaines demandes de pièces justificatives ou imposer des garanties techniques renforcées.

À ce stade, la procédure est préventive : la CNIL est « dans le viseur » du projet, selon BFM Business, et analyse la conformité du traitement des données. Il n’est pas possible, pour l’heure, de prédire si le projet sera contraint de modifier profondément son modèle, ou s’il parviendra à répondre aux exigences réglementaires.

Mentionné : BFM Business, CNIL, Antoine Chéron, article 9 du RGPD.