Mise en demeure de WHATSAPP pour transmission de données sans base légale.

Virginie PERDRIEUX
Virginie PERDRIEUX

 

Source :   Délibération du Bureau de la Commission Nationale de l’Informatique et des Libertés n° 2017-300 du 12 décembre 2017 décidant de rendre publique la mise en demeure n° 2017-075 du 27 novembre 2017 prise à l’encontre de la société WHATSAPP INC.

 

Suite au rachat en 2017 de la société WHATSAPP par la société FACEBOOK, une nouvelle version des conditions d’utilisation de l’application WHATSAPP a été dévoilée, indiquant que les données à caractère personnel de ses utilisateurs seront désormais transmises à la société FACEBOOK pour trois finalités : le ciblage publicitaire, la sécurité et l’évolution et l’amélioration des services (« business intelligence »).

 

Après enquête, la CNIL a constaté plusieurs manquements à la Loi informatique et liberté du 6 janvier 1978, à commencer par l’obligation de disposer d’une base légale pour les traitements de données à caractère personnel mis en œuvre.

 

En effet, la société WHATSAPP transmet à la société FACEBOOK des informations sur les utilisateurs tel que leur numéro de téléphone, ainsi que des informations relatives à leurs habitudes d’utilisation de l’application, à des fins de « business intelligence ».

 

Or, la CNIL considère que cette finalité, qui vise à améliorer les performances et optimiser l’exploitation de l’entreprise par l’analyse du comportement des utilisateurs, ne repose sur aucune des bases légales qui exigent, pour tout traitement, la Loi informatique et libertés.

 

La CNIL se fonde ici sur l’article 7 de la Loi informatique et liberté, lequel dispose qu’« un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes :

 

1. Le respect d’une obligation légale incombant au responsable du traitement.

 

2. La sauvegarde de la vie de la personne concernée.

 

3. L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement.

 

4. L’exécution, soit d’un contrat auquel la personne concernée est partie, soit des mesures précontractuelles prises à la demande de celle-ci.

 

5. La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée ».

 

Le Règlement général sur la protection des données qui entrera en vigueur le 25 mai 2018 prévoit des critères identiques pour que le traitement de données à caractère personnel soit considéré licite, en son article 6.

 

En l’espèce, le consentement des utilisateurs n’est pas valablement recueilli par la société WHATSAPP, puisqu’il n’est pas spécifique à la finalité de « business intelligence », dès lors que lors de l’installation de l’application, les utilisateurs doivent accepter que leurs données soient traitées pour le service de messagerie, mais également, de manière générale, par FACEBOOK pour des finalités accessoires telles que l’amélioration de son service. Aussi, le consentement n’est pas libre, puisque le seul moyen de s’opposer à la transmission des données est de désinstaller l’application.

 

D’autre part, la CNIL observe que la société WHATSAPP ne peut se prévaloir de son intérêt légitime à transférer massivement des données à la société FACEBOOK, dans la mesure où cette transmission ne s’accompagne pas de garanties suffisantes permettant de préserver l’intérêt ou les droits et libertés fondamentaux des utilisateurs, puisqu’il n’existe aucun mécanisme leur permettant de s’y opposer tout en continuant à utiliser l’application.

 

La société WHATSAPP a également manqué à son obligation de coopérer avec la CNIL, puisqu’elle a refusé à plusieurs reprises de communiquer un échantillon des données des utilisateurs français transmises à FACEBOOK, estimant être uniquement soumise à la législation des ETATS-UNIS, lieu de son installation.

 

Seulement, cet argument n’est pas valable, que ce soit au titre de la Loi informatique et libertés ou du Règlement général sur la protection des données, puisque dès lors qu’un opérateur met en œuvre des moyens de traitement auprès de personnes situées en FRANCE, la CNIL est parfaitement compétente pour en connaître.

 

Dans un souci de coopération, la CNIL a décidé de mettre publiquement en demeure la société WHATSAPP de se conformer à la Loi dans un délai d’un mois à compter de la notification de ladite décision, estimant que la publicité de la mise en demeure se fonde sur la nécessité de mettre les personnes concernées en position de garder le contrôle de leurs données.

 

Fort est à parier qu’en cas de non mise en conformité de la société WHATSAPP d’ici un mois, la CNIL ne fera plus preuve de clémence, au vu du nombre d’avertissements d’ores et déjà transmis, et prononcera nécessairement une sanction pécuniaire.

 

Virginie PERDRIEUX

Vivaldi-Avocats

Partager cet article