Mark Zuckerberg, CEO de Meta (Facebook) riant

La CNIL donne un mois à WhatsApp pour cesser de transmettre les données de ses utilisateurs à Facebook

La transmission illégale des données personnelles des utilisateurs de la messagerie WhatsApp à sa maison mère Facebook est une nouvelle fois d’actualité.

Le 25 août 2016, la société WhatsApp, filiale de Facebook depuis 2014, a publié une nouvelle version des conditions d’utilisation et de la politique de confidentialité de l’application de messagerie mobile éponyme.

Premier amendement de ces documents en 4 ans, il stipule que les données de ses utilisateurs seront désormais transmises à Facebook pour le ciblage publicitaire, la sécurité, l’évaluation et l’amélioration des services (« business intelligence »).

Facebook, et ses autres filiales, allaient recevoir les numéros de téléphone et les statistiques d’utilisation de WhatsApp, des informations qu’elles allaient agréger avec les leurs.

En outre, comme Facebook Messenger, WhatsApp allait désormais donner la possibilité aux entreprises de contacter les personnes directement sur sa plateforme.

Ces échanges de données personnelles étaient en totale contradiction avec les promesses faites à Bruxelles pour l’obtention de son agrément au rachat de WhatsApp par Facebook, ce qui sera sanctionné en mai 2017 d’une amende de 110 millions d’euros.

À l’époque, la Commission Nationale de l’Informatique et des Libertés (CNIL) n’avait pas communiqué à ce sujet, contrairement à son homologue Allemand, la HmbBfDI (Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ou Commission de Hambourg pour la protection des données et la liberté d’information) qui émettait un mois plus tard une injonction contre Facebook et WhatsApp.

Elle interdisait à Facebook de récolter et de stocker des informations issues de WhatsApp, et lui ordonnait d’effacer toutes les informations déjà récoltées de WhatsApp.

Au Royaume-Uni également, L’Information Commissioner’s Office avait annoncé que si les entreprises n’avaient pas à obtenir un accord préalable de l’ICO quand elles modifiaient leur politique de confidentialité, elles devaient respecter les lois sur la protection des données personnelles. L’organisme allait donc se pencher sur les changements.

En octobre 2016, le Groupe de travail « Article 29 », qui rassemble les autorités de contrôle de la protection des données de chaque État membre de l’Union européenne, a envoyé une lettre ouverte à Jan Koum, le CEO de WhatsApp, s’émouvant du changement des conditions d’utilisation du service, et remettant en question la validité du consentement de ses utilisateurs.

En novembre 2016, Facebook arrêtait temporairement de collecter les données d’usage de WhatsApp en Europe.

Depuis, la CNIL a enquêté. Si elle a été informée par la société que les données des 10 millions d’utilisateurs français n’avaient en réalité jamais été traitées à des fins de ciblage publicitaire, elle a relevé plusieurs manquements à la loi Informatique et Libertés :

  • WhatsApp a continué d’échanger les données personnelles de ses utilisateurs avec Facebook à des fins de sécurité, ce qui est en ordre, comme à des fins de business intelligence, pour lesquelles il n’y a aucune base légale ;
  • Le consentement des utilisateurs, tel que recueilli, n’est pas valide légalement, car il n’est pas spécifique à cette finalité, et il n’est pas libre, puisque le seul moyen de s’opposer à la transmission des données pour la finalité accessoire de business intelligence est de désinstaller l’application ;
  • Cette transmission ne s’accompagne pas des garanties suffisantes permettant de préserver l’intérêt ou les droits et libertés fondamentaux des utilisateurs ;
  • WhatsApp, qui comme toutes les entreprises qui mettent en œuvre des moyens de traitement des données en France, a l’obligation de coopérer avec la CNIL, n’a jamais fourni à cette dernière un échantillon des données des utilisateurs français transmises à Facebook, comme elle le lui a demandé à de multiples reprises.

La CNIL met donc WhatsApp en demeure de se conformer à la loi d’ici un mois, sans quoi des sanctions pourraient être prononcées contre elle.