Xpassfam, plateforme de gestion d’informations familiales (arbre généalogique, souvenirs partagés, documents personnels), soulève des interrogations sérieuses quant au traitement des données qu’elle héberge. Derrière ses promesses de mémoire partagée et d’espace privé sécurisé, la question centrale reste : les données transmises par les utilisateurs sont-elles véritablement protégées, en conformité avec le RGPD ? Quand il s’agit d’informations sensibles concernant plusieurs membres d’une même famille, la protection ne peut être approximative.

Traitement données personnelles : conformité RGPD de Xpassfam

Le RGPD impose des obligations claires aux entreprises qui manipulent des données personnelles : finalité déterminée, base légale, durée de conservation, transparence. Or, les plateformes comme Xpassfam recueillent des volumes importants d’informations : noms, dates de naissance, filiations, fichiers photo, voire contenus à caractère sensible (origines, situations médicales, relations passées).

La loi considère ces données comme personnelles dès lors qu’elles permettent d’identifier directement ou indirectement une personne. Ce principe s’applique même si c’est un autre membre de la famille qui fournit l’information. Exemple : si vous renseignez le nom de votre oncle ou d’un cousin, celui-ci peut être identifié sans avoir donné son consentement.

Données hébergées : stockage et accès des fichiers familiaux

Un point rarement expliqué en détail concerne l’hébergement effectif des données. Xpassfam indique opérer en France, mais ne fournit pas toujours de documentation publique sur ses sous-traitants, sa politique de redondance, ou la localisation exacte des serveurs.

Si les fichiers sont stockés sur des serveurs en dehors de l’Union européenne, ou si la plateforme utilise des prestataires non soumis au RGPD, cela constitue une faille. Le transfert de données vers des pays tiers exige des garanties juridiques et techniques fortes (clauses contractuelles types, encadrement par des règles contraignantes, etc.).

À lire  Comment supprimer définitivement vos données d’un ancien téléphone avant revente ?

En l’absence de telles garanties, les données familiales stockées (photos, lettres anciennes, vidéos, scans de documents personnels) pourraient être consultées ou conservées sans contrôle réel par des tiers.

Consentement des proches : faille juridique fréquente sur Xpassfam

L’un des points les plus problématiques concerne le consentement implicite supposé des personnes mentionnées. Dans les faits, un utilisateur peut créer un compte, charger des informations sur ses parents, ses enfants, voire des personnes décédées, sans que ces dernières ne soient consultées.

Or, le RGPD ne permet pas ce genre de traitement libre. L’article 6 exige une base légale. Pour des personnes vivantes, le consentement explicite est requis, sauf exception (intérêt légitime, contrat, obligation légale). Et même en cas d’intérêt légitime, les droits des personnes doivent être respectés : droit d’opposition, de rectification, de suppression.

Le problème est aggravé lorsque l’utilisateur partage l’accès à ces données avec d’autres membres de la famille, ce qui élargit le cercle des personnes pouvant voir ou copier les informations, sans aucune vérification d’identité ni signature de clause de confidentialité.

Droit à l’oubli et portabilité : quels recours pour l’utilisateur ?

Xpassfam, comme tout service soumis au RGPD, doit permettre à l’utilisateur de supprimer à tout moment ses données, de demander leur portabilité, ou de connaître les traitements effectués. Mais la mise en œuvre concrète est souvent incomplète.

  • Peut-on supprimer un arbre généalogique contenant des données sur plusieurs personnes ?
  • Qui décide si une photo partagée par un utilisateur peut être effacée, si elle représente d’autres membres de la famille ?
  • Existe-t-il une procédure rapide et documentée pour exercer ses droits ?
À lire  Comment faire une sauvegarde complète de son compte Instagram ?

La CNIL rappelle qu’un droit à l’effacement ne s’applique pas uniquement aux données fournies par soi-même, mais également à celles fournies par autrui si elles vous concernent directement. Cela signifie qu’un individu dont le nom ou la photo apparaît dans un arbre Xpassfam peut exiger le retrait immédiat de ces éléments.

Sécurité technique et incidents connus sur plateformes similaires

Aucune plateforme n’est à l’abri d’une faille ou d’un piratage. Entre 2021 et 2023, plusieurs plateformes de généalogie et de mémoire familiale (MyHeritage, GEDmatch) ont été victimes de fuites massives de données. MyHeritage a reconnu en 2022 que plus de 92 millions de comptes utilisateurs avaient été compromis, y compris des profils contenant des données ADN.

Même si Xpassfam n’a pas connu de brèche publique jusqu’à présent, son infrastructure repose sur les mêmes types de composants : bases de données relationnelles, stockage cloud, authentification par identifiant/mot de passe. Si aucune double authentification n’est proposée, si les liens de partage ne sont pas expirables, ou si les accès ne sont pas logués, la sécurité ne peut être considérée comme maîtrisée.