Avertissement de la CNIL : Whatsapp communique vos données à Facebook

La présidente de la CNIL met la société WHATSAPP en demeure de procéder légalement à la transmission des données de ses utilisateurs à FACEBOOK, notamment en obtenant leur consentement.

En 2014, la société WHATSAPP a été rachetée par la société FACEBOOK Inc. Le 25 août 2016, la société WHATSAPP a publié une nouvelle version des conditions d’utilisation et de la politique de confidentialité de l’application « WhatsApp ». Il y est mentionné que les données de ses utilisateurs sont désormais transmises à la société FACEBOOK Inc. pour trois finalités : le ciblage publicitaire, la sécurité et l’évaluation et l’amélioration des services (« business intelligence »).

A la suite de cette annonce, le G29 (groupe des CNIL européennes) a sollicité des  explications de la part de WHATSAPP sur les traitements réalisés à l’occasion de cette transmission de données, tout en demandant qu’elle soit interrompue concernant le ciblage publicitaire. Le G29 a également missionné son sous-groupe en charge de la coopération en matière d’enquêtes et de sanctions (« enforcement subgroup »), notamment pour qu’il coordonne les actions des autorités souhaitant mener des investigations.

C’est dans ce contexte que la Présidente de la CNIL a décidé, pour vérifier la conformité à la loi « Informatique et Libertés » des traitements opérés par WHATSAPP, de diligenter des contrôles en ligne et sur questionnaire puis de convoquer la société pour une audition.

La CNIL a été informée par la société que les données des 10 millions d’utilisateurs français n’avaient en réalité jamais été traitées à des fins de ciblage publicitaire.

Ces investigations ont néanmoins permis de constater plusieurs manquements à loi « Informatique et Libertés ».

• Un manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre.

Il a été constaté que la société WHATSAPP transmet effectivement à la société FACEBOOK Inc. des données concernant ses utilisateurs à des fins de « business intelligence » et de sécurité. Sont ainsi partagées des informations sur les utilisateurs telles que leur numéro de téléphone ainsi que des informations relatives à leurs habitudes d’utilisation de l’application.

Si la finalité de sécurité peut être regardée comme essentielle au bon fonctionnement de l’application, il en va différemment de la finalité de « business intelligence » qui via l’analyse du comportement des utilisateurs de l’application, vise à améliorer ses performances et à optimiser son exploitation.

La Présidente de la CNIL a estimé que la transmission de données de WHATSAPP vers FACEBOOK Inc. pour cette finalité de « business intelligence » ne reposait sur aucune des bases légales qu’exige, pour tout traitement, la loi informatique et libertés.

En particulier, ni le consentement des utilisateurs ni l’intérêt légitime de WHATSAPP ne peuvent être invoqués dans les circonstances de l’espèce.

En effet, d’une part, le consentement des utilisateurs n’est pas valablement recueilli car :

• il n’est pas spécifique à cette finalité – lors de l’installation de l’application les utilisateurs doivent accepter que leurs données soient traitées pour le service de messagerie, mais également, de manière générale, par FACEBOOK Inc. pour des finalités accessoires, telle que l’amélioration de son service ;
• il n’est pas libre – le seul moyen de s’opposer à la transmission des données pour la finalité accessoires de « business intelligence » est de désinstaller l’application.

D’autre part, la société WHATSAPP ne peut se prévaloir de son intérêt légitime à transférer massivement des données à la société FACEBOOK Inc. dans la mesure où cette transmission ne s’accompagne pas des garanties suffisantes permettant de préserver l’intérêt ou les droits et libertés fondamentaux des utilisateurs puisqu’il n’existe aucun mécanisme leur permettant de s’y opposer  tout en continuant à utiliser l’application.

• Un manquement à l’obligation de coopérer avec la Commission

Les services de la CNIL ont demandé à plusieurs reprises à la société WHATSAPP de leur communiquer un échantillon des données des utilisateurs français transmises à FACEBOOK Inc.  La société a indiqué ne pas être en mesure de fournir ces informations dans la mesure où, étant installée aux Etats-Unis, elle s’estime uniquement soumise à la législation de ce pays.

La CNIL, qui est compétente dès lors qu’un opérateur met en œuvre des moyens de traitement situés en France, n’a donc pas été en mesure d’examiner pleinement la conformité des traitements mis en œuvre par la société, en raison du manquement de celle-ci à son obligation de coopérer avec la Commission résultant de l’article 21 de la loi informatique et libertés.

La Présidente de la CNIL met en demeure la société WHATSAPP de se conformer à la loi dans un délai d’un mois.

La Présidente et les deux vice-présidents de la CNIL ont décidé de rendre publique cette mise en demeure afin d’assurer le plus haut niveau de transparence sur la transmission massive de données d’un grand nombre d’utilisateurs de WHATSAPP vers FACEBOOK Inc. et ainsi d’alerter sur la nécessité de mettre les personnes concernées en position de garder le contrôle de leurs données.

Ce choix résulte également du fait que la société WHATSAPP a insuffisamment coopéré avec la CNIL, ce qui n’a pas permis de contrôler pleinement la conformité de cette transmission de données, alors même qu’elle participe à l’augmentation de la quantité considérable d’informations dont dispose FACEBOOK Inc., y compris sur des non-utilisateurs de son réseau social.

La CNIL rappelle que cette mise en demeure n’est pas une sanction. Aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité.

Si la société ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui proposera le cas échéant à la formation restreinte de la CNIL, chargée de réprimer les manquements à la loi, de prononcer une sanction.