Connexion
Abonnez-vous

WhatsApp mis en demeure par la CNIL pour ses transmissions de données à Facebook

Whats happe

WhatsApp mis en demeure par la CNIL pour ses transmissions de données à Facebook

Le 19 décembre 2017 à 09h06

Hier, en fin de journée, la CNIL a mis en demeure la société WhatsApp de procéder à une mise en conformité s’agissant de la transmission des données personnelles de ses utilisateurs dans les bras de Facebook. Un bras de fer qui en dit long sur le niveau de considération de ces géants des services en ligne pour les lois nationales.

Tout est parti d’un contrôle par les agents de la Commission à l’automne 2016. Classiquement, l’entreprise a contesté l’application de la loi française et européenne, s’estimant concernée par le seul droit américain. Seulement, la CNIL lui a rappelé que dès lors qu’un acteur est situé hors de l’Union européenne tout en y disposant de « moyens », le droit européen s’applique dans toute sa plénitude.

Le « moyen » ici en cause est tout simplement la célèbre application de messagerie « à installer sur des terminaux mobiles situés notamment sur le territoire français, qui permet de collecter les données des utilisateurs telles que leurs nom, prénom, numéro de téléphone ou photographie ». En outre, ce service est « disponible en langue française et ses options de paramétrage permettent son utilisation par des personnes situées sur le territoire français ».

Quel est le problème soulevé par la Commission ? La société rachetée par Facebook en 2014 avait mis à jour ses conditions générales d’utilisation deux ans plus tard. Selon les nouvelles CGU, les données des utilisateurs sont désormais partagées avec Facebook, sauf opposition des utilisateurs dans un délai de trente jours.

Toutefois, « aucune information relative aux traitements de données à caractère personnel mis en place par la société n’est présente sur le formulaire permettant de créer un compte sur l’application » a relevé la CNIL dans sa délibération.

La puce à l’oreille, celle-ci a donc poussé les investigations, en s’intéressant tout particulièrement aux données effectivement transmises de WhatsApp à Facebook. Et c’est en soulevant cette couverture qu’une multitude de contrariétés à la loi CNIL a jailli.

Des contrariétés dans les CGU et la politique de confidentialité 

Déjà, les conditions générales et la politique de confidentialité ne disent pas vraiment la même chose. D’un côté, il est affirmé en substance que Facebook ne traite pas les données transmises, de l’autre que le même réseau peut les utiliser.

Par ces quelques lignes, confirmées par des pièces transmises à l’autorité, Facebook a reconnu finalement passer du statut de sous-traitant à celui de responsable de traitement. Or, la CNIL a eu beau lire et relire les éléments présentés aux utilisateurs, jamais ceux-ci n’ont eu la possibilité d’accorder un consentement « spécifique » à ce traitement.

Pire, explique la commission, l’analyse a révélé que « les données à caractère personnel de l’ensemble des utilisateurs de l’application WhatsApp sont transmises à Facebook inc., même dans le cas où une personne utilisant WhatsApp ne posséderait pas de compte sur le site Facebook inc. ou sur les autres plateformes gérées par les sociétés de la famille Facebook inc. ».

S’ajoute à cela que la seule façon pour l’utilisateur de s’opposer à la majorité de ces traitements est la suppression définitive du compte. Une forme de chantage qui ne permet vraiment pas d’assurer une juste proportion entre les intérêts de l’internaute et celles de la société. La CNIL a sur ce point conclu à l’absence de droit d’opposition.

« Business intelligence », ou le profilage de 10 millions de Français

La problématique gagne en intensité lorsqu’on s’approche des finalités des traitements entre WhatsApp et Facebook. L’une d’elles vise le « business intelligence », anglicisme derrière lequel Facebook s’offre la possibilité de profiler très précisément chacun des 10 millions d’utilisateurs de WhatsApp en France.

Voilà qui fait un peu beaucoup : « ce traitement massif d’informations par un seul acteur et pour des finalités non clairement déterminées, entraine un déséquilibre au détriment de l’utilisateur qui ne peut être corrigé qu’en lui permettant de garder la maitrise de ses données » déplore encore la CNIL.

Mieux, les formulaires WhatsApp sont bien silencieux sur les finalités pour lesquelles les données sont transmises à Facebook et les droits dont disposent les personnes concernées. Un beau défaut d’information couplé à un manquement à l’obligation de coopérer avec la CNIL.

Quand WhatsApp fait le mort

Dans ses multiples échanges, la Commission a demandé à WhatsApp de lui fournir les documents « encadrant les échanges de données entre [elle] et les sociétés destinataires des données ». Mais le 27 février 2017, « la société a indiqué ne pas comprendre la nature de la documentation sollicitée ».

Même blocage quand la CNIL a réclamé cette fois les données transmises entre les acteurs sur un échantillon de 1 000 personnes. Le 20 juillet 2017, « la société a indiqué que la transmission de l’échantillon demandé par la CNIL se heurtait à des problématiques juridiques, car ses bases de données sont situées aux États-Unis et que seule la loi américaine est applicable ».

Énième opposition lorsque WhatsApp s’est vue réclamer de transmettre les documents internes montrant que Facebook agit bien en qualité de sous-traitant. « Le 20 juillet 2017, la société a indiqué avoir mis en place des contrats de sous-traitance avec la société Facebook et avec ses prestataires de service, mais que de tels contrats étaient soumis à des obligations de confidentialité ».

La CNIL s’est ainsi retrouvée dans l’incapacité d’examiner la conformité du traitement au regard de la loi du 6 janvier 1978, alors que son article 21 oblige les sociétés sollicitées à coopérer et surtout à ne pas s’opposer à ces investigations.

Dans sa délibération, rendue volontairement publique, WhatsApp est mise en demeure de ne plus transmettre sans base légale, dans un délai d’un mois, les données des utilisateurs Facebook pour la finalité de « business intelligence ».

Elle est contrainte de « procéder à l’information des personnes auprès desquelles des données à caractère personnel sont collectées » et ce, « notamment en faisant figurer sur le formulaire de création de comptes, les mentions d’information prévues à cet article, en particulier les finalités pour lesquelles les données sont transmises à Facebook inc. et les droits dont disposent les personnes concernées ».

Enfin, elle est tenue de transmettre à la Commission l’ensemble des données communiquées par WhatsApp à Facebook sur l’échantillon sollicité.

Jusqu’à 3 millions d’euros de sanction, en attendant le RGPD

À défaut, la CNIL pourra infliger l’une des sanctions prévues par la loi CNIL, une amende de 3 millions d’euros, ou ordonner l’interruption du traitement de certaines des données à caractère personnel pour une durée maximale de trois mois.

Ces menaces sont ridicules par rapport à la puissance de ces géants, néanmoins la CNIL peut toujours décider de rendre publiques les hypothétiques sanctions, ce qui n’est jamais glorieux pour un service en ligne basé sur la confiance des utilisateurs.

Ajoutons enfin qu’à partir du 25 mai 2018, le règlement européen sur la protection des données personnelles permettra aux autorités de contrôle d’opter pour des sanctions jusqu’à 20 millions d’euros et même 4 % du chiffre d’affaires annuel mondial en cas de manquement notamment au droit d’opposition des personnes.

WhatsApp et Facebook déjà condamnées à 110 millions d'euros d'amende

Ce n’est pas la première fois que le mariage entre ces deux acteurs est épinglé. En mai 2017, la Commission européenne infligeait cette fois 110 millions d’euros d’amende à Facebook pour avoir fourni des informations trompeuses lors du rachat de WhatsApp.

À cette occasion, la société chère à Mark Zuckerberg avait indiqué à l’institution européenne « qu’elle ne serait pas en mesure d'établir d'une manière fiable la mise en correspondance automatisée entre les comptes d'utilisateurs de Facebook et ceux de WhatsApp ».

En août 2016, comme déjà souligné, la société avait finalement combiné ces océans de données personnelles. Et l’enquête de la Commission avait révélé que Facebook était dès l’origine en capacité de faire ces correspondances automatisées.

Commentaires (24)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Une goutte d’eau…



Et ça n’est pas avec la fin de la neutralité du net si chère à Porky que les choses vont aller dans le bon sens.

votre avatar

Porky?

votre avatar

Trump. Ou Ajit ?<img data-src=" />

votre avatar

Noooooon&nbsp; sans déconner ! J’en suis sans voix, vraiment j’aurais jamais cru que Whatsapp, un service racheté par facebook qui demande à peu prés tous les accès au téléphone (en quoi il a besoin de la localisation pour chatter) servirais simplement a pomper nos données pour les monétiser ?



Vous voulez dire, que Facebook pompe les données de Whatsapp ? …



#crédulité

votre avatar

4% du CA mondial ça fait 1,1 milliards de $. C’est déjà un peu plus sérieux, mais ça ne fait “que” 10% de leur résultat net…

votre avatar







secouss a écrit :



(en quoi il a besoin de la localisation pour chatter)







Tu peux partager ta localisation avec tes correspondants 🙂


votre avatar

Pourquoi la CNIL n’a pas attendu l’entrée en vigueur du RGDP pour pouvoir appliquer les nouvelles sanctions ?

votre avatar

Xprivacy me paraît abandonné à en juger par le topic XDA (officiel?) et le github du projet.

votre avatar







secouss a écrit :



Vous voulez dire, que Facebook pompe les données de Whatsapp ? …



#crédulité





Il y a une différence entre faire et avoir le droit de faire, ce que n’a pas what’sapp.

&nbsp;&nbsp;



Yach a écrit :



4% du CA mondial ça fait 1,1 milliards de $. C’est déjà un peu plus sérieux, mais ça ne fait “que” 10% de leur résultat net…





Vu comme ils grattent pour éviter de payer le moindre impôt, je pense que 10% ça doit être suffisant pour faire réagir les actionnaires.


votre avatar

Je dirais que c’est plus une question de principe. Et puis la RGPD, c’est au niveau européen, donc il y aura potentiellement des attaques là-dessus en plus.

votre avatar

Je te laisse choisir <img data-src=" />

votre avatar

Bonne chance pour réguler le traitement des données alors que c’est le carburant des GAFA…

votre avatar

Certes, je parle de l’historique.

Quand je veux partager ma localisation pourquoi je ne lui donne pas le droit JUSTE à cet instant ? Le reste du temps, ce n’est pas utile pour lui ….

votre avatar







revker a écrit :



Et ça n’est pas avec la fin de la neutralité du net si chère à Porky que les choses vont aller dans le bon sens.





Haha, ça m’a aussi fait penser au film Porky’s sorti en 198182http://www.imdb.com/title/tt0084522/. <img data-src=" />

<img data-src=" />


votre avatar







Jarodd a écrit :



Pourquoi la CNIL n’a pas attendu l’entrée en vigueur du RGDP pour pouvoir appliquer les nouvelles sanctions ?





Et donc opter pour la rétroactivité d’une sanction pour des faits antérieurs à l’entrée en vigueur du RGPD ? Pas sûr que cela soit bien carré.


votre avatar

Merci pour cet article.

Je me “doutais” mais n’étais sûr de rien concernant Whatsapp, vu qu’ils se targuent de faire payer l’appli pour que l’utilisateur ne soient pas le produit, qu’ils vantent l’encryption bout-en-bout, bref, j’avoue avoir eu un doute.

Merci de remettre les pendules à l’heure, je vais définitivement migrer sur Signal et abandonner Whatsapp.

votre avatar

J’ai WhatsApp, et avec aucune autorisation accordée il fonctionne très bien pour usage basique (pas d’appel audio/vidéo, pas d’envoi d’images, etc). Donc ton “qui demande à peu prés tous les accès au téléphone (en quoi il a besoin de la localisation pour chatter)” est irrecevable.



Bon, après personnellement j’ai quand même besoin de l’autorisation de l’accès au stockage pour envoyer des GIF par exemple.

votre avatar

Sauf que tu oublie une chose, ça ne devrait JAMAIS être à l’utilisateur d’aller désactiver des autorisations … Ce serais simple une option “demander l’autorisation à chaque fois”

votre avatar

Je suis bien d’accord sur ça, mais c’est comme qui dirait un autre sujet du coup.

votre avatar







Jarodd a écrit :



Pourquoi la CNIL n’a pas attendu l’entrée en vigueur du RGDP pour pouvoir appliquer les nouvelles sanctions ?







ça, ça sera la deuxième lame… <img data-src=" />


votre avatar

Parce que ce sont des applis avant tout archi grand public, et ce genre d’option n’intéresse qu’une brochette de geeks.

votre avatar

Donc pas une raison valable … Un besoin reste un besoin, la seule raison c’est qu’ils refusent d’aider les gens à désactiver le tracking vu qu’ils en vivent ce qui est finalement assez logique pour du gratuit où nous sommes le produit …

votre avatar







secouss a écrit :



Noooooon&nbsp; sans déconner ! J’en suis sans voix, vraiment j’aurais jamais cru que Whatsapp, un service racheté par facebook qui demande à peu prés tous les accès au téléphone (en quoi il a besoin de la localisation pour chatter) servirais simplement a pomper nos données pour les monétiser ?



Vous voulez dire, que Facebook pompe les données de Whatsapp ? …



#crédulité





Xprivacy <img data-src=" />

Parce que les connards de chez google n’implementeront jamais un equivalent dans android.


votre avatar

Exactement ^^ voyons, ce ne sont pas des voyous qui se foutent de ta vie privée, c’est une entreprise responsable qui pense à ses utilisateurs avant son bénéfice <img data-src=" />

WhatsApp mis en demeure par la CNIL pour ses transmissions de données à Facebook

  • Des contrariétés dans les CGU et la politique de confidentialité 

  • « Business intelligence », ou le profilage de 10 millions de Français

  • Quand WhatsApp fait le mort

  • Jusqu’à 3 millions d’euros de sanction, en attendant le RGPD

  • WhatsApp et Facebook déjà condamnées à 110 millions d'euros d'amende

Fermer