Voilà moins d'un an que l'application de média social Clubhouse est sur le marché et elle fait déjà l’objet de plusieurs plaintes pour atteinte à la vie privée et pour exploitation de données d'utilisateurs, notamment l’enregistrement et le partage de conversations privées, d’identifiants de connexion et de métadonnées sur un site web tiers.
Qu'est-ce que Clubhouse ?
Fréquentée par des célébrités comme Oprah Winfrey, Elon Musk, Ashton Kutcher et d'autres, l’app Clubhouse propose des salons de discussion que les utilisateurs peuvent rejoindre pour bavarder en direct. La présence de célébrités sur le service attire aussi des spécialistes du marketing, dont des stars de la communication marketing comme Guy Kawasaki et Seth Godin. Des marques comme Milk Bar, Kool-Aid et Politico y ont créé des profils et, en décembre, Clubhouse a même lancé un programme officiel d'influenceurs.
Un accès à l’ensemble des contacts
Mais, à mesure que les spécialistes du marketing s'engagent dans le média social, le risque de sécurité que présente son utilisation augmente également pour les entreprises dont les employés fréquentent le média. De façon générale, le marketing a toujours été un département difficile à gérer pour les équipes de sécurité : Leur rôle est de partager les données, alors que le rôle des équipes de sécurité est de les protéger et, dans certains cas, de les retenir. Étant donné que les deux départements travaillent ensemble pour assurer la sécurité des informations, les professionnels de la sécurité doivent savoir comment fonctionne Clubhouse et à quels risques potentiels l’app peut exposer leur entreprise.
Comme Facebook à ses débuts, la base d'utilisateurs de Clubhouse est motivée par l'exclusivité. Mise à part la présence de célébrités, l'application est actuellement accessible uniquement sur iPhone. Pour adhérer au réseau social, les prétendants doivent être invités par un utilisateur existant. Pour en inviter d’autres, les abonnés autorisent Clubhouse à accéder aux carnets d'adresses de leurs téléphones et aux informations des personnes figurants dans ces listes de contacts sans leur consentement explicite. Clubhouse crée ensuite des profils fantômes de ces utilisateurs potentiels et le nombre de connexions qu’ils peuvent avoir, incitant les personnes déjà présentes sur la plateforme à les inviter : « Vous ne voulez pas que John rejoigne le club ? Il a déjà neuf amis ! »
Bien entendu, ces pratiques ont déjà soulevé des problèmes de sécurité auxquels Clubhouse n'a pas encore répondu. La startup possède les numéros de téléphone portable privés de certaines personnes parmi les plus riches et les plus connues au monde, mais elle ne semble pas avoir de responsable de la sécurité. Le réseau social enregistre les conversations menées dans l'application et les stockent temporairement sur des serveurs en Chine, en partenariat avec la startup Agora basée à Shanghai.
Plaintes et fuite de données
En Europe, l'entreprise est confrontée à une ordonnance de cessation et d’abstention déposée le 27 janvier par la Centrale fédérale des consommateurs allemands (VZBV) pour violation du règlement général sur la protection des données (RGPD). En France, la montée en puissance du réseau social inquiète au point que la députée Paula Forteza a envoyé une lettre à la Cnil pour que le régulateur se penche sur plusieurs points : le partage des contacts du carnet d'adresses, enregistrements de conversations et transfert des données aux Etats-Unis.
Le 21 février, Clubhouse a été victime d'une fuite de données qui a été exploitée, un utilisateur ayant réussi à manipuler le système pour diffuser en continu des conversations de chat rooms sur un site web tiers. « Clubhouse est un super vecteur de diffusion de la vie privée qui repose sur une infrastructure back-end basée en Chine. Son défaut de sécurité ne devrait pas lui permettre d’être disponible dans l'App Store. Elle devrait être retirée de l’App Store tant qu’elle ne garantit pas la sécurité de ses utilisateurs (et non-utilisateurs) », a tweeté le 14 février Debra Farber, responsable de la protection de la vie privée pour Amazon Prime Video et évangéliste du « privacy by design » et du « privacy engineering ».
Mme Farber est rapidement devenue une experte indépendante de la sécurité de Clubhouse - ou de son absence de sécurité. Elle n'est pas la seule responsable du secteur à s'opposer à l'application : Lourdes Turrecha, fondatrice de The Rise of Privacy Tech, une initiative d'évangélisation en faveur de la protection de la vie privée - dont Debra Farber est consultante - a accusé Clubhouse d’exploiter la peur de manquer quelque chose (autrement appelé syndrome FOMO) au lieu de résoudre d'importants problèmes de protection de la vie privée. Quant à Daragh Brien, directeur général de Castlebridge, une société de conseil en matière de gouvernance de l'information et de protection de la vie privée, il n’hésite pas à qualifier l'application de « produit minimum responsable » - détournant le terme de « produit minimum viable ». Selon lui, Clubhouse est « un produit qui a fait si peu pour répondre aux cadres réglementaires ou aux exigences de sécurité des utilisateurs qu’il expose forcément à des plaintes en série ». Il conseille même aux investisseurs de « faire attention ».
Ce ne sont pas des paroles en l'air. Mais, quand les départements marketing voient ce qu’ils pourraient tirer de la présence d'Oprah Winfrey et d'Ashton Kutcher, les mises en garde sévères des experts en sécurité et en protection de la vie privée ne suffisent pas à les tenir à l’écart. « Même s’il y a certains risques… je ne suis pas sûr que ces réserves aient des effets », a déclaré Vykintas Maknickas, chef de la sécurité de Nord Security. Ce dernier part du principe que « les fonctionnalités de Clubhouse sont conçues avec de bonnes intentions, même si certaines d'entre elles peuvent être utilisées de manière abusive ». Comme la fuite de données du salon de discussion. Celui-ci pense qu’il ne faut pas présupposer que Clubhouse subira les mêmes violations de la vie privée que Facebook, simplement parce que c’est un réseau social.
Risques liés à l’usage de Clubhouse par les employés
Concernant les enregistrements des salons de discussion, M. Maknickas déclare que « les utilisateurs ne devraient pas s’inquiéter plus que quand certains de leurs collègues prennent la parole dans le cadre d'une conférence ». Dans l’app Clubhouse, ou si l’information est fuitée sur un site tiers, le fait est que les intervenants partagent publiquement des informations. Vykintas Maknickas conseille une collaboration avec le département des relations publiques pour développer une politique qui permet aux conférenciers de promouvoir la marque de l'entreprise tout en préservant la sécurité de ses données. « Si la politique de l'entreprise consiste à contrôler tous les sujets de discussion et à fixer ce qui ne doit pas être abordé, alors oui, il est sans doute plus difficile de coordonner le flux d'informations. Mais la même chose peut s'appliquer à la majorité des réseaux sociaux et Clubhouse en lui-même ne présente pas plus de risque que d'autres », a affirmé Vykintas Maknickas.
Pourtant, selon Marc Gilman, directeur général et vice-président de la conformité pour Theta Lake, une entreprise spécialisée dans la détection des risques, « concernant les préoccupations en matière de sécurité, tout ce qui va au-delà du partage ou de la discussion d’informations publiques devrait être totalement interdit ». Dans le cadre d'une conférence, les participants sont répertoriés et contrôlés. Certains sont même régis par la Chatham House Rule. Cette règle utilisée pour encadrer la confidentialité des informations échangées lors d'une réunion restreint le partage d'informations après l'événement. Par contre, Clubhouse encourage tous les utilisateurs à participer à la conversation de leur choix sans aucune restriction de partage. « Sans mécanisme de contrôle préalable des contenus enregistrés à l'aide de technologies auxiliaires, les conversations risquent de tourner en plaintes ou contenir des informations personnelles identifiables ou des informations confidentielles pouvant devenir très problématiques, en particulier dans les domaines réglementés qui doivent tenir compte des risques plus généraux de réputation associés à ces activités », a encore déclaré M. Gilman.
Même les personnes ne travaillant pas dans des secteurs réglementés peuvent être soumises à des accords de non-divulgation (NDA) qui protègent les informations personnelles des clients comme les numéros de téléphone, les adresses, les dates anniversaires et toutes autres données que les utilisateurs de Clubhouse stockent dans leurs carnets d’adresses. Les marqueteurs qui utilisent leur téléphone personnel dans le cadre de leur travail peuvent ignorer qu'ils téléchargent des contacts d’entreprise. Sauf que, dans les profils fantômes que Clubhouse crée ensuite pour ces clients, l'employé de votre entreprise apparaîtra comme un contact, et ce contact pourrait être visible par tout concurrent qui aurait également les coordonnées de ce même client dans son téléphone, ce qui pourrait poser des problèmes de veille concurrentielle.
Minimiser le risque des employés utilisant Clubhouse
Les employeurs pratiquant une politique BYOD doivent veiller tout particulièrement à ce que le partage des coordonnées ne viole pas les accords de confidentialité ou d'autres politiques juridiques et de sécurité. La première chose à faire est de sensibiliser les employés aux risques liés à l'utilisation de Clubhouse et de définir des politiques claires sur son utilisation. Une façon d'éviter d'exposer les contacts et les données est de contrôler, autant que possible, les données auxquelles Clubhouse a accès à partir des comptes personnels des employés. La plupart des systèmes de gestion des terminaux mobiles d'entreprise (MDM) permettent de segmenter les données personnelles et professionnelles sur les appareils appartenant à l'utilisateur et à l'entreprise. Il en va de même pour le cadre de gestion unifiée d'Apple. Si aucune de ces options ne convient à votre entreprise, des applications MDM sont disponibles sur l'Apple Store. Clubhouse prépare également une version Android, alors, préparez-vous en demandant à ces utilisateurs d'activer la fonction de profil professionnel sur leur téléphone.
Au moment de la rédaction de cet article, l’app Clubhouse totalisait plus de 10 millions de téléchargements, et rien ne laisse présager un ralentissement. La startup est évaluée à 1 milliard de dollars, avec plus de 100 millions de dollars investis. Actuellement, l’entreprise recherche deux analystes spécialisés dans la confiance et la sécurité. Mais la description des postes à pourvoir indique qu'il s'agit davantage de postes de communication avec les utilisateurs, et non à de véritables rôles de spécialistes de la sécurité des données. Le principal investisseur de Clubhouse, Andreessen Horowitz, n'a pas répondu à notre demande de commentaires. Clubhouse a envoyé un courriel automatique nous invitant à rejoindre le réseau social.