Dernière actualité : CJUE : Une copie d’examen est une donnée personnelle
[Lire la suite]
 BREF

2017-12-19 - WHATSAPP et la protection des données personnelles en France

En 2014, la société WHATSAPP a été rachetée par la société FACEBOOK Inc. Le 25 août 2016, la société WHATSAPP a publié une nouvelle version des conditions d’utilisation et de la politique de confidentialité de l’application « WhatsApp », précisant que les données de ses utilisateurs sont désormais transmises à la société FACEBOOK Inc. pour trois finalités : le ciblage publicitaire, la sécurité et l’évaluation et l’amélioration des services (« business intelligence »).

La Présidente de la CNIL a contrôlé la société WHATSAPP. Selon cette société, les données des 10 millions d’utilisateurs français n’ont en réalité jamais été traitées à des fins de ciblage publicitaire. Elles ont été partagées avec FACEBOOK Inc., en sa seule qualité de sous-traitant, à des fins de « business intelligence » et de sécurité. La finalité de sécurité participe d’une recherche d’amélioration du fonctionnement de l’application pour lutter contre les comptes abusifs, menaçants ou contrefacteurs. En revanche la finalité dite de « business intelligence », lui permet de bénéficier de services de la part des autres sociétés de la famille FACEBOOK Inc afin, d’analyser les habitudes d’utilisation des utilisateurs, et « d’explorer et de déverrouiller les moyens de développer et étendre son activité ».

La société a indiqué qu’elle avait un intérêt légitime à transmettre les données de ses utilisateurs vers FACEBOOK Inc. dans la mesure où cette transmission s’inscrivait dans le cadre de son acquisition par cette dernière, et qu’elle permet l’amélioration du service qu’elle propose et que le consentement des utilisateurs à cette transmission a été recueilli. Cependant, WHATAPPS a précisé lors de l’audition que le seul moyen mis à disposition des utilisateurs de l’application pour s’opposer à la transmission de leurs données à FACEBOOK Inc, dans le cadre des deux premières finalités, consistait en la suppression de leur compte.

Par ailleurs, WHATSAPP a refusé de communiquer un échantillon des données des utilisateurs à la CNIL, considérant que ses bases de données situées aux Etats-Unis, sont soumises à la loi américaine. Or, les moyens de traitement sont situés en France. En effet, la société met à disposition un service de messagerie via une application, disponible en français, à installer sur les terminaux mobiles situés sur le territoire français et qui permet de collecter des données des utilisateurs situés en France. Il en résulte que cette société est soumise à la loi française applicable en vertu du 2e du I de l’article 5 de la loi du 6 janvier 1978 modifiée.

Selon le principe de finalité, toute donnée doit être recueillie pour une finalité déterminée, consentie par l’utilisateur. Le consentement a été donné pour le service de messagerie, mais également, de manière générale, par FACEBOOK Inc. pour des finalités accessoires, telle que l’amélioration de son service. Or, en l’espèce, FACEBOOK Inc ne se limite pas à être un sous-traitant, puisqu’il utilise les données transmises par WHATSAPP afin d’améliorer la sécurité de ses propres services. Il est donc responsable de traitement destinataire des données à caractère personnel collectées par WHATSAPP. Pour s’opposer à la transmission de données pour la finalité accessoire de « business intelligence », l’utilisateur doit désinstaller l’application. La transmission à cette finalité non consentie est donc liée à l’utilisation de la messagerie. La CNIL considère que si les personnes concernées ont bien été informées de la transmission de leurs données, il apparaît qu’elles n’ont pas pu manifester leur volonté de façon libre et spécifique. Le consentement selon la CNIL n’est pas valablement recueilli par la société.

L’intérêt légitime du responsable de traitement doit être apprécié en tant que tel et au regard de l’intérêt de la personne concernée et de ses droits et libertés fondamentaux, dont l’intérêt légitime du responsable de traitement ne saurait porter atteinte. Comme le souligne la CNIL, un mécanisme d’opposition reposant sur la suppression définitive d’un compte ne permet pas d’assurer un juste équilibre entre l’intérêt de la société et l’intérêt des personnes concernées en ce qu’il a pour conséquence de priver la personne de l’utilisation d’un service. Par ailleurs, la finalité de « business intelligence » des données peut dans une certaine mesure, contribuer à améliorer l’application au bénéfice des utilisateurs, cette finalité n’apparaît pas indispensable à son fonctionnement et l’avantage de cette transmission profite en premier lieu à la société. En outre, FACEBOOK Inc. dispose d’un statut d’acteur mondial incontournable dans le numérique, le transfert des données permet de préciser le profilage des utilisateurs de WHATSAPP, et d’en tirer un avantage économique. Pour la CNIL, il existe un déséquilibre au détriment de l’utilisateur, « qui ne peut être corrigé qu’en lui permettant de garder la maîtrise de ses données ». Pour les utilisateurs de WHATSAPP qui ne disposent pas de compte Facebook, leurs données seront traitées par la société FACEBOOK Inc sans motif apparent. Cette transmission, qui s’inscrit dans la recherche de l’intérêt légitime du responsable de traitement des données personnelles, ne respecte pas l’intérêt et les droits et libertés des personnes. Ces faits constituent un manquement aux dispositions de l’article 7 de la loi du 6 janvier 1978 modifiée.

La collecte et le traitement des données se fait via le formulaire permettant de créer un compte sur l’application, qui ne contient aucune information relative au traitement des données personnelles et notamment des finalités pour lesquelles ces finalités sont transmises à FACEBOOK Inc. et des droits dont disposent les personnes concernées. Ces faits constituent un manquement à l’obligation d’informer les personnes, article 32-1 de la loi de 1978.

Enfin, le défaut de transmission des informations demandées constitue un manquement à son obligation de coopérer prévu par l’article 21 de la loi informatique et libertés.

La CNIL a mis en demeure la société WHATSAPP de ne pas procéder sans base légale à la transmission des données des utilisateurs vers la société FACEBOOK Inc. , a informer les personnes dont les données personnelles sont collectées, notamment en précisant sur le formulaire de création de compte, les mentions d’information, les finalités de la transmission et les droits des personnes concernées, communiquer à la CNIL les données transmises par WHATSAPP à FACEBOOK Inc. pour échantillon de mille utilisateurs situés sur le territoire français, et justifier de la mise en œuvre de ces demandes.

La CNIL rappelle que cette mise en demeure n\'est pas une sanction. Aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti. Si la société ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui proposera le cas échéant à la formation restreinte de la CNIL, chargée de réprimer les manquements à la loi, de prononcer une sanction.

WhatsApp risque une sanction maximale de 150.000 euros dans l\'affaire. Avec le Règlement général sur la protection des données personnelles (RGPD) qui entrera en vigueur en mai 2018, les sanctions vont augmenter : 20 millions d\'euros maximums ou 4% du chiffre d\'affaires annuel

Source : Délibération du bureau de la Commission nationale de l’informatique et des libertés n° 2017-300 du 12 décembre 2017 décidant de rendre publique la mise en demeure n° 2017-075 du 27 novembre 2017 prise à l’encontre de la société WHATSAPP INC.

Mentions légales | Réalisation site : Opium Bleu