Données personnelles : WhatsApp n’a pas le consentement de la CNIL
La CNIL somme WhatsApp de se mettre en conformité avec la législation française concernant les transmissions de données à sa maison mère Facebook.
« Le respect de votre confidentialité est ancré dans notre ADN. »
C’est par ces mots que débute la politique de confidentialité de WhatsApp, dans sa version en vigueur depuis le 25 août 2016.
Il y est notamment précisé que l’application de messagerie instantanée échange des informations avec « la famille de sociétés Facebook », dont elle fait partie depuis 2014.
Ces sociétés peuvent utiliser les informations en question, entre autres pour « améliorer [les] expériences au sein de leurs services, comme faire des suggestions de produit […] et afficher des offres et des publicités pertinentes ».
Les traitements réalisés dans ce cadre avaient fait l’objet d’une demande d’explications de la part du G29.
Le collectif, qui réunit la CNIL et ses homologues des États membres de l’Union européenne, avait examiné en parallèle les conditions d’utilisation de WhatsApp – également actualisées en date du 25 août 2016. Il avait demandé l’interruption de la transmission de données vers Facebook à des fins de ciblage publicitaire.
Des traitements made in France
Dans ce contexte, la CNIL a mené sa propre investigation, ponctuée de trois contrôles en ligne (les 4 et 9 novembre 2016, puis le 23 octobre 2017) et d’une audition dans ses locaux (le 14 juin 2017).
Il en a résulté une mise en demeure adressée le 27 novembre dernier à WhatsApp et qu’il a été décidé de rendre publique au vu du nombre d’utilisateurs de l’application en France (plus de 10 millions).
La CNIL a donné un mois à la firme américaine pour corriger plusieurs manquements à la loi informatique et libertés.
Elle affirme être compétente, du fait que les collectes de données à caractère personnel sont réalisées via des moyens de traitement situés sur le territoire français. En l’occurrence, une application mobile disponible dans la langue de Molière et à installer sur des terminaux situés notamment sur le sol hexagonal.
Les multiples échanges d’e-mails et de courriers n’ont pas donné entière satisfaction à la Commission, qui dénonce un manquement à l’obligation de coopérer avec ses services.
WhatsApp a effectivement refusé de fournir certaines des informations qui lui étaient demandées, tout particulièrement « l’ensemble des données transmises pour un échantillon de mille personnes situées sur le territoire français ».
Partenaires particuliers
Sur ce point, la filiale de Facebook a invoqué sa soumission exclusive à la législation américaine, ses bases de données se trouvant sur place.
Pour ce qui est des instructions fournies à sa maison mère dans le cadre des traitements aux fins desquels les données sont transmises, elle a fait valoir le caractère confidentiel des contrats sous-jacents… qui relèveraient de la sous-traitance.
La CNIL considère que la relation entre les deux entités va au-delà de cette prétendue sous-traitance : Facebook agit aussi, au sens de la loi informatique et libertés, comme responsable de traitement.
La politique de confidentialité en témoigne, en précisant que les « membres de la famille de sociétés Facebook » peuvent utiliser les données qui sont transmises pour améliorer leurs offres.
Cette politique étant directement opposable aux utilisateurs, expressément invités à en prendre connaissance et à l’accepter, WhatsApp entend bien, assure la CNIL, informer ses utilisateurs que Facebook « effectue aussi un traitement distinct […] pour son propre compte ».
Du côté de WhatsApp, on indique que les collectes de données (qui vont d’informations sur l’appareil utilisé à la date de dernière connexion à l’application) ont servi, en France, deux finalités : la sécurité et l’amélioration des services de la famille Facebook. Le volet publicitaire a été envisagé, mais non encore mis en œuvre, affirme la société.
Tout ou rien
Cette dernière déclare disposer d’une double base légale pour procéder à la transmission de données : le consentement des utilisateurs et son intérêt légitime.
La CNIL conteste le premier point : les conditions d’utilisation et la politique de confidentialité ne permettent pas à l’utilisateur de comprendre avec un niveau de précision suffisant quelle utilisation sera faite de ses données.
La seule solution étant de consentir de façon générale sous peine de devoir supprimer son compte, on ne peut pas parler de consentement « libre et spécifique ».
Ce mécanisme d’opposition, affirme la Commission, ne permet par ailleurs pas d’assurer « un juste équilibre entre l’intérêt de WhatsApp et celui des personnes concernées ».
L’absence d’un autre mécanisme d’opposition pourrait à la rigueur se justifier au nom de la sécurité et de la sûreté, qui peuvent « passer pour [essentielles] au fonctionnement de l’application ».
Il n’en va pas de même pour le recueil de données à des fins d’amélioration du service : dans le raisonnement de la CNIL, « l’avantage que tire la société de la transmission des données lui profite au premier chef », si bien que les utilisateurs devraient pouvoir s’y opposer tout en continuant d’utiliser l’application.
WhatsApp est aussi somme de remédier à un manquement à l’obligation d’informer les personnes : le formulaire de création de compte ne contient aucune information sur le traitement de données à caractère personnel, alors qu’il permet la collecte de numéros de téléphone, de noms, de prénoms et, de manière facultative, de photos.
Crédit photo : afagen via VisualHunt / CC BY-NC-SA