Mise en demeure de WhatsApp pour transfert illégal de données personnelles vers Facebook

Lundi 18 décembre 2017, la Commission Nationale de l’Informatique et des Libertés (CNIL) a publiquement mis en demeure la société WhatsApp de se conformer à la loi Informatique et Libertés dans le cadre de son transfert de données à caractère personnel vers la société Facebook.

Cette décision intervient après la modification par WhatsApp de ses conditions d’utilisation et de sa politique de confidentialité, intervenue suite à son rachat par Facebook en 2014.
Il y est désormais mentionné que la transmission des données des utilisateurs de l’application poursuivait deux finalités. Une première finalité dite de « business intelligence », porte sur l’évaluation et l’amélioration de ses services, et une deuxième finalité vise la sécurité et l’échange d’informations ayant pour objet la lutte contre les comptes abusifs, menaçants ou contrefacteurs.

Les données partagées sont essentiellement le numéro de téléphone des utilisateurs, leur opérateur mobile, ainsi que les informations relatives à leurs habitudes d’utilisation de l’application.

Une absence de base légale pour les traitements mis en œuvre

Conformément à la loi Informatique et Libertés, les traitements de données à caractère personnel ne sont licites que s’ils reposent sur une base légale.
Dans le cadre de l’enquête menée par la CNIL, WhatsApp a indiqué disposer d’une « double base légale » s’agissant du traitement consistant à transmettre des données à Facebook : le consentement des utilisateurs et son intérêt légitime.

La législation précise que le consentement de la personne concernée par le traitement doit être recueilli de manière libre et spécifique.
Il en découle que le consentement est valable seulement si la personne concernée est véritablement en mesure d’exercer un choix.
Seuls les utilisateurs déjà inscrits sur WhatsApp au moment de la modification des conditions d’utilisation ont eu la possibilité de ne pas partager leurs informations avec Facebook (le transfert de données vers Facebook était défini par défaut). Au contraire, pour les nouveaux inscrits, le seul moyen de s’opposer au transfert de leurs données est de supprimer leur compte.
En outre, les utilisateurs n’ont pas d’autre choix que d’accepter que leurs données personnelles soient traitées d’une part par WhatsApp et d’autre part par Facebook, pour des finalités accessoires, dont fait partie, entre autres, l’amélioration du service. Le consentement des utilisateurs n’a donc pas été spécifiquement recueilli pour cette finalité.

Par ailleurs, la CNIL ne remet pas en cause l’intérêt légitime de WhatsApp à transférer les données de ses utilisateurs à Facebook dans le but d’améliorer son service de messagerie instantanée. En effet, un traitement est licite si la société dispose d’un intérêt légitime, à condition qu’il soit mis en balance avec les intérêts de la personne concernée et ses droits et libertés fondamentaux.
Néanmoins, la Commission estime qu’un mécanisme d’opposition reposant sur la suppression définitive d’un compte ne permet pas d’assurer un juste équilibre entre l’intérêt de la société et l’intérêt des personnes concernées, puisqu’il a pour conséquence de priver la personne de l’utilisation d’un service.
WhatsApp ne peut donc pas se prévaloir de son intérêt légitime à transférer les données de ses utilisateurs à Facebook.

Cette absence de mécanisme d’opposition est d’autant plus problématique pour les utilisateurs de WhatsApp qui ne disposent pas de compte Facebook et dont les données seront traitées par la société sans motif apparent.

Un manquement à l’obligation de coopération avec la CNIL

La décision de la CNIL de rendre publique la mise en demeure de WhatsApp découle d’une absence de coopération de la société. La loi Informatique et Libertés précise en effet que le responsable de traitement doit prendre toutes mesures utiles afin de faciliter la tâche de la Commission.

WhatsApp devait communiquer à l’autorité de contrôle un échantillon de données des utilisateurs français transmises à Facebook, mais a indiqué ne pas être en mesure de fournir ces informations. Elle estime qu’étant installée aux Etats-Unis, elle est uniquement soumise à la législation de ce pays.
Pourtant, la CNIL est compétente dès lors qu’un opérateur met en œuvre des moyens de traitement situés en France.

Dès le lendemain de sa mise en demeure, la société WhatsApp s’est alors empressée de répondre : « nous continuerons à travailler avec la CNIL pour nous assurer que les utilisateurs comprennent quelles informations nous collectons et comment nous les collectons ».

Des sanctions déjà prononcées à l’encontre de WhatsApp et Facebook

La CNIL a donné un mois au service de messagerie instantanée pour se mettre en conformité avec la loi, notamment en recueillant le consentement de ses 10 millions d’utilisateurs français. WhatsApp a donc tout intérêt à répondre aux demandes de la CNIL dans le délai imparti, sous peine de se voir infliger une sanction.

La mise à jour de ses conditions d’utilisation a déjà valu à WhatsApp une condamnation, en mai 2017, par l’autorité de la concurrence italienne à payer une amende de 3 millions d’euros. Celle-ci a estimé que les utilisateurs de l’application n’étaient pas clairement informés de la possibilité de continuer à utiliser le service en refusant le partage de leurs données personnelles à Facebook.

Je partage

Derniers articles

miniature article interet legitime europe

La notion d’intérêt légitime au cœur d’un débat européen

En 2020, l’Autorité de Protection néerlandaise a sanctionné une société de diffusion de matchs de football pour violation des règles de protection des données personnelles. Cette décision a provoqué un débat européen autour de la notion d’intérêt légitime. Alice Picard, notre juriste consultante Protection des Données, revient dans le détail sur les ressorts de ce débat.

Lire l'article
edito digitemis par ludovic de carcouet avril 2022

L’édito de Digitemis, par Ludovic de Carcouët (juin 2022)

Cyber humanum est : l’édito de Ludovic de Carcouët, CEO de Digitemis (juin 2022). L’édition 2022 du Forum International de la Cybersécurité (FIC) qui s’est déroulée à Lille la semaine dernière a montré que le facteur humain demeure le socle d’une politique cyber efficace et ambitieuse. L’humain reste le meilleur garant de la solidité et de la continuité d’un écosystème grâce à son savoir-faire, à sa réflexion, à ses compétences, à sa capacité d‘innovation et de réponse aux problématiques technologiques qui se posent. Il est le plus à même de réguler son rapport à la machine et de doser son usage.

Lire l'article