auteurs

Aurélie Garret Dalmais Avocate Associée

Emilie Pessieau Avocate

Catherine Tran Van Avocate

Parole d'expert

12 février 2026

Applications de rencontres, sites internet, réseaux sociaux : quid des données personnelles ?

Rencontres en lignes et données personnelles : un amour sous contrôle du chaperon RGPD ?

En février, notre cœur bat la chamade : chocolats, fleurs, Saint-Valentin… Les couples s’offrent des cadeaux et les célibataires se tournent massivement vers les sites et applications de rencontre pour trouver leur moitié.

Mais derrière les profils, les likes et les « matchs », une autre réalité se joue : ces plateformes collectent et traitent une grande quantité de données personnelles, parfois très intimes. La recherche de l’amour peut alors devenir périlleuse… surtout pour les données personnelles !

De nombreuses applications mobiles, sites Internet et réseaux sociaux traitent des données personnelles sensibles… le saviez-vous ?

I. Les données personnelles collectées sur les sites de rencontre et autres applications et réseaux sociaux

1. Définition des données personnelles (RGPD)

Une donnée personnelle, au sens du RGPD[1] (Règlement Général pour la Protection des Données), est toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Concrètement, sur un site de rencontre : des données telles que le nom, le prénom, l’âge, l’adresse mail, le numéro de téléphone ou la localisation sont des données personnelles et font l’objet d’un traitement.

Au sein des données personnelles, il existe une catégorie de données particulières : les données sensibles. Le RGPD définit certaines catégories particulières de données dites « sensibles » (article 9) : notamment les données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que les données génétiques, biométriques, relatives à la santé, à la vie sexuelle ou à l’orientation sexuelle d’une personne.

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

2. Typologie des données traitées par les sites de rencontre et autres applications et réseaux sociaux

Les sites, applications et/ou réseaux sociaux de rencontre collectent généralement plusieurs catégories de données :

Données liées à la création du compte : Identité (nom, prénom ou pseudonyme), âge/date de naissance, adresse email, numéro de téléphone, mot de passe, parfois localisation ou ville, voire la profession.
Données relatives au profil : Genre, situation familiale, centres d’intérêts, préférences (type de relation recherchée, profil des personnes recherchées), hobbies, traits de personnalité, parfois critères plus ciblés (religion, opinions, style de vie, etc.).
Données de contenu : Photos, vidéos, contenus audio, textes de présentation, échanges dans les conversations avec les autres membres, éventuellement notes privées, likes, blocages, signalements, etc.
Données techniques et de suivi : Adresse IP, identifiants techniques, données de connexion, données de géolocalisation, données de navigation sur l’application ou le site, préférences d’utilisation, etc.

Tout ce qui est mis sur ces plateformes, du simple like à la photo envoyée en message privé, peut faire l’objet d’un traitement.

3. Les données sensibles : l’exemple de l’orientation sexuelle, l’appartenance religieuse ou politique

Beaucoup de sites Internet, d’applications mobiles et/ou de réseaux sociaux traitent sans le savoir des données sensibles. Par exemple, dès l’inscription sur de nombreux sites de rencontre, une question du type « Que recherchez-vous ? » est posée, avec des options telles que : « homme qui cherche une femme », « femme qui cherche un homme », « homme qui cherche un homme », « femme qui cherche une femme », « femme qui cherche les deux », « homme qui cherche les deux ». Dès cette étape, des données relatives à l’orientation sexuelle (donc des données sensibles au sens du RGPD ) sont traitées.

La CNIL avait déjà souligné que ces plateformes peuvent faire l’objet de traitements particulièrement intrusifs, notamment par le ciblage des utilisateurs selon leurs orientations sexuelles, leurs opinions politiques ou leurs appartenances religieuses (CNIL, Sites et applications de rencontres : comment protéger votre intimité, 25 novembre 2025). La CNIL indique à cet effet : « De plus en plus de personnes se rendent sur les sites et applications de rencontres qui, pour la plupart, offrent une recherche de partenaires très ciblée : par communauté sociale, ethnique ou religieuse, par localisation géographique, selon l’apparence physique, les orientations sexuelles ou les opinions politiques, etc.

Le RGPD interdit de recueillir ou d’utiliser ces données sensibles, sauf, notamment, dans les cas suivants :

si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée) ;
si les informations sont manifestement rendues publiques par la personne concernée ;
si elles sont nécessaires à la sauvegarde de la vie humaine ;
si leur utilisation est justifiée par l'intérêt public et autorisé par la CNIL ;
si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.

Il sera dès lors de la responsabilité de chaque éditeur d’application, site Internet et/ou réseau social, de s’assurer de la possibilité de traiter ce type de données sensibles. »

II. Les obligations des éditeurs quant au traitement de données sensibles (RGPD)

Les éditeurs des sites et applications et/ou réseaux sociaux sont des « responsables de traitement » au sens du RGPD. À ce titre, ils doivent respecter un ensemble d’obligations encadrant la collecte et l’utilisation des données personnelles.

1. Principe de licéité, loyauté et transparence

Les traitements doivent reposer sur une base légale (par exemple l’exécution du contrat, le consentement, l’intérêt légitime) et les utilisateurs doivent être clairement informés. Des politiques de confidentialité compréhensibles, accessibles et non noyées dans un langage juridique opaque sont attendues.

2. Minimisation, pertinence et limitation de la conservation

Les sites ne doivent collecter que les données strictement nécessaires à la finalité poursuivie (« minimisation ») et ne pas conserver ces données plus longtemps que nécessaire : La CNIL a d’ores et déjà relevé des durées de conservation excessives et l’absence de suppression automatique des comptes inactifs sur certains sites de rencontre.

Lesdits éditeurs ne doivent pas exiger d’informations excessives ou sans lien avec la finalité poursuivie (par exemple des détails trop intrusifs sur la vie sexuelle, l’orientation politique ou religieuse non justifiées ne peuvent être traitées).

3. Sécurité, confidentialité et responsabilité

Les responsables de traitement doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données

Plus le responsable de traitement traite des données sensibles, plus ses obligations de sécurité seront importantes. Le 22 janvier 2026, la CNIL a sanctionné FRANCE TRAVAIL (anciennement Pôle Emploi) d’une amende de 5 millions d’euros pour ne pas avoir assuré la sécurité des données des personnes en recherche d’emploi. Ici, aucune donnée de santé n’a, dans les faits été usurpées, mais la CNIL a été sensible à la faiblesse des mesures de sécurité mise en place versus le type de données sensibles traitées. Un mois avant c’était la société NEXPUBLICA qui était condamnée pour des défauts de sécurité à 1.7 millions d’euros.

La CNIL a déjà relevé, lors de contrôles, des défauts importants de sécurité sur certains sites de rencontre, conduisant à des mises en demeure et sanctions.

4. Traitement des données sensibles et consentement explicite

Les traitements portant sur des données sensibles, notamment l’orientation sexuelle, sont en principe interdits, sauf exceptions strictes, comme le consentement explicite de la personne concernée ou certaines finalités spécifiques prévues par la loi.

Pour les sites de rencontre, la CNIL a insisté sur la nécessité d’un consentement clair, spécifique et distinct pour la collecte de ces données sensibles et pour certaines réutilisations (comme la prospection commerciale). Certains de ces sites ou de ces applications ont fait l’objet de signalements d’utilisateurs pour collecte excessive de données ou fuite de données, conduisant la CNIL à mener des contrôles. Par exemple, une application de rencontres a déjà transmis les données personnelles de ses utilisateurs à d’autres entreprises pour du marketing, sans leur accord. Dans un autre cas, un site de rencontres a subi une violation de données, exposant certaines données de ses utilisateurs à des tiers. (CNIL, Sites et applications de rencontres : comment protéger votre intimité, 25 novembre 2025).

L’usage d’une seule case à cocher pour accepter à la fois les conditions générales, certifier sa majorité et autoriser le traitement de données sensibles a déjà été sanctionné comme insuffisant.

Il est donc indispensable de s’assurer d’un véritable consentement lors du traitement de toute donnée sensible au sein de vos sites Internet, application mobile ou réseau social.

5. Respect des droits des utilisateurs

Les éditeurs doivent également permettre l’exercice effectif des droits prévus par le RGPD :

Droit d’accès, rectification, effacement (droit à l’oubli).
Droit d’opposition (par exemple à la prospection ou à certains ciblages).
Droit à la portabilité des données (récupérer ses données dans un format structuré).
Droit à la limitation et à l’information en cas de profilage.

En pratique, cela implique la mise en place de procédures simples (formulaires, adresses électroniques dédiées, rubriques dans les paramètres du compte, etc.) pour permettre aux utilisateurs d’exercer leurs droits.

III. Les condamnations

Le non-respect du RGPD peut entrainer des sanctions pécuniaires importantes pouvant s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.

À la suite de contrôles menés dès 2014 (avant l’application du RGPD), la CNIL avait mis en demeure 13 sites de rencontres français, dont certains leaders du marché comme Meetic, AdopteUnMec ou Attractive World, en raison de manquements à la loi Informatique et Libertés. La CNIL leur reprochait notamment :

Collecte de données sensibles (orientation sexuelle, éventuellement opinions, appartenances religieuses) sans garanties suffisantes ni consentement explicite.
Conservation excessive des données, y compris des profils inactifs ou des messages anciens.
Défauts d’information des utilisateurs sur l’utilisation de leurs données.
Sécurité insuffisante, exposant les utilisateurs à des risques de fuite ou d’accès non autorisé.

Ces mises en demeure ont été rendues publiques afin de sensibiliser à la fois les éditeurs de sites et les utilisateurs à la sensibilité des données traitées dans le cadre des rencontres en ligne.

Quelques années plus tard : La CNIL a prononcé, en 2016 (toujours avant l’entrée en vigueur du RGPD), des sanctions pécuniaires à l’encontre de deux sites de rencontre : Les manquements principaux concernaient le défaut de consentement à la collecte et au traitement. Au sein des deux délibérations, la CNIL considère « qu’en recueillant le consentement des personnes par le biais d’une seule et unique case à cocher relative à trois informations distinctes (la majorité, l’acceptation des CGU et l’acceptation du traitement des données relatives à l’orientation sexuelle) diluant ainsi l’information portant sur les données relatives à l’orientation sexuelle parmi d’autres, la société n’a pas recueilli le consentement exprès des utilisateurs du site internet de la société au traitement de leurs données sensibles [1]».

Le 30 avril 2025, une SOCIETE EDITANT UN SITE WEB DE RENCONTRES DESTINE AUX PERSONNES PARTAGEANT DES CONVICTIONS POLITIQUES SIMILAIRES (procédure simplifiée) a été condamnée à une amende de 20.000 euros pour non-respect des durées de conservation, absence de consentement des personnes sur les données sensibles, et défaut de sécurité.

[1] Délibération de la formation restreinte n°2016-406 du 15 décembre 2016 prononçant une sanction pécuniaire à l'encontre de la société x et délibération de la formation restreinte n°2016-405 du 15 décembre 2016 prononçant une sanction pécuniaire à l'encontre de la société X

IV. Nos conseils et bonnes pratiques

Avant la mise en ligne d’une application mobile, d’un site Internet et/ou d’un réseau social :

Identifier les données traitées et les qualifier (données personnelles ? Données sensibles ?)
S’assurer de la licéité du traitement (base légale, minimisation, légitimation, durée limitée)
S’assurer d’un réel consentement des personnes concernées
Informer les personnes concernées
Sécuriser lesdites données (y compris avec ses propres sous-traitants, tels qu’hébergeur, prestataires informatiques …)
Documenter sa conformité

Conclusion

La plupart des Sites, Applications ou Réseaux sociaux regorgent de données sensibles…, ce qui implique des obligations importantes.

L’ensemble de l’équipe est à votre disposition pour auditer vos sites, afin de les rendre respectueux du RGPD.

Données personnelles RGPD CNIL FidalàAurillac FidalàBourges FidalàBrivelaGaillarde FidalàClermontFerrand FidalàLimoges FidalàPérigueux FidalàThiers FidalàVichy Centre