WhatsApp mis en demeure par la CNIL pour ses transmissions de données à Facebook
Whats happe
Le 19 décembre 2017 à 09h06
8 min
Droit
Droit
Hier, en fin de journée, la CNIL a mis en demeure la société WhatsApp de procéder à une mise en conformité s’agissant de la transmission des données personnelles de ses utilisateurs dans les bras de Facebook. Un bras de fer qui en dit long sur le niveau de considération de ces géants des services en ligne pour les lois nationales.
Tout est parti d’un contrôle par les agents de la Commission à l’automne 2016. Classiquement, l’entreprise a contesté l’application de la loi française et européenne, s’estimant concernée par le seul droit américain. Seulement, la CNIL lui a rappelé que dès lors qu’un acteur est situé hors de l’Union européenne tout en y disposant de « moyens », le droit européen s’applique dans toute sa plénitude.
Le « moyen » ici en cause est tout simplement la célèbre application de messagerie « à installer sur des terminaux mobiles situés notamment sur le territoire français, qui permet de collecter les données des utilisateurs telles que leurs nom, prénom, numéro de téléphone ou photographie ». En outre, ce service est « disponible en langue française et ses options de paramétrage permettent son utilisation par des personnes situées sur le territoire français ».
Quel est le problème soulevé par la Commission ? La société rachetée par Facebook en 2014 avait mis à jour ses conditions générales d’utilisation deux ans plus tard. Selon les nouvelles CGU, les données des utilisateurs sont désormais partagées avec Facebook, sauf opposition des utilisateurs dans un délai de trente jours.
Toutefois, « aucune information relative aux traitements de données à caractère personnel mis en place par la société n’est présente sur le formulaire permettant de créer un compte sur l’application » a relevé la CNIL dans sa délibération.
La puce à l’oreille, celle-ci a donc poussé les investigations, en s’intéressant tout particulièrement aux données effectivement transmises de WhatsApp à Facebook. Et c’est en soulevant cette couverture qu’une multitude de contrariétés à la loi CNIL a jailli.
Des contrariétés dans les CGU et la politique de confidentialité
Déjà, les conditions générales et la politique de confidentialité ne disent pas vraiment la même chose. D’un côté, il est affirmé en substance que Facebook ne traite pas les données transmises, de l’autre que le même réseau peut les utiliser.
Par ces quelques lignes, confirmées par des pièces transmises à l’autorité, Facebook a reconnu finalement passer du statut de sous-traitant à celui de responsable de traitement. Or, la CNIL a eu beau lire et relire les éléments présentés aux utilisateurs, jamais ceux-ci n’ont eu la possibilité d’accorder un consentement « spécifique » à ce traitement.
Pire, explique la commission, l’analyse a révélé que « les données à caractère personnel de l’ensemble des utilisateurs de l’application WhatsApp sont transmises à Facebook inc., même dans le cas où une personne utilisant WhatsApp ne posséderait pas de compte sur le site Facebook inc. ou sur les autres plateformes gérées par les sociétés de la famille Facebook inc. ».
S’ajoute à cela que la seule façon pour l’utilisateur de s’opposer à la majorité de ces traitements est la suppression définitive du compte. Une forme de chantage qui ne permet vraiment pas d’assurer une juste proportion entre les intérêts de l’internaute et celles de la société. La CNIL a sur ce point conclu à l’absence de droit d’opposition.
« Business intelligence », ou le profilage de 10 millions de Français
La problématique gagne en intensité lorsqu’on s’approche des finalités des traitements entre WhatsApp et Facebook. L’une d’elles vise le « business intelligence », anglicisme derrière lequel Facebook s’offre la possibilité de profiler très précisément chacun des 10 millions d’utilisateurs de WhatsApp en France.
Voilà qui fait un peu beaucoup : « ce traitement massif d’informations par un seul acteur et pour des finalités non clairement déterminées, entraine un déséquilibre au détriment de l’utilisateur qui ne peut être corrigé qu’en lui permettant de garder la maitrise de ses données » déplore encore la CNIL.
Mieux, les formulaires WhatsApp sont bien silencieux sur les finalités pour lesquelles les données sont transmises à Facebook et les droits dont disposent les personnes concernées. Un beau défaut d’information couplé à un manquement à l’obligation de coopérer avec la CNIL.
Quand WhatsApp fait le mort
Dans ses multiples échanges, la Commission a demandé à WhatsApp de lui fournir les documents « encadrant les échanges de données entre [elle] et les sociétés destinataires des données ». Mais le 27 février 2017, « la société a indiqué ne pas comprendre la nature de la documentation sollicitée ».
Même blocage quand la CNIL a réclamé cette fois les données transmises entre les acteurs sur un échantillon de 1 000 personnes. Le 20 juillet 2017, « la société a indiqué que la transmission de l’échantillon demandé par la CNIL se heurtait à des problématiques juridiques, car ses bases de données sont situées aux États-Unis et que seule la loi américaine est applicable ».
Énième opposition lorsque WhatsApp s’est vue réclamer de transmettre les documents internes montrant que Facebook agit bien en qualité de sous-traitant. « Le 20 juillet 2017, la société a indiqué avoir mis en place des contrats de sous-traitance avec la société Facebook et avec ses prestataires de service, mais que de tels contrats étaient soumis à des obligations de confidentialité ».
La CNIL s’est ainsi retrouvée dans l’incapacité d’examiner la conformité du traitement au regard de la loi du 6 janvier 1978, alors que son article 21 oblige les sociétés sollicitées à coopérer et surtout à ne pas s’opposer à ces investigations.
Dans sa délibération, rendue volontairement publique, WhatsApp est mise en demeure de ne plus transmettre sans base légale, dans un délai d’un mois, les données des utilisateurs Facebook pour la finalité de « business intelligence ».
Elle est contrainte de « procéder à l’information des personnes auprès desquelles des données à caractère personnel sont collectées » et ce, « notamment en faisant figurer sur le formulaire de création de comptes, les mentions d’information prévues à cet article, en particulier les finalités pour lesquelles les données sont transmises à Facebook inc. et les droits dont disposent les personnes concernées ».
Enfin, elle est tenue de transmettre à la Commission l’ensemble des données communiquées par WhatsApp à Facebook sur l’échantillon sollicité.
Jusqu’à 3 millions d’euros de sanction, en attendant le RGPD
À défaut, la CNIL pourra infliger l’une des sanctions prévues par la loi CNIL, une amende de 3 millions d’euros, ou ordonner l’interruption du traitement de certaines des données à caractère personnel pour une durée maximale de trois mois.
Ces menaces sont ridicules par rapport à la puissance de ces géants, néanmoins la CNIL peut toujours décider de rendre publiques les hypothétiques sanctions, ce qui n’est jamais glorieux pour un service en ligne basé sur la confiance des utilisateurs.
Ajoutons enfin qu’à partir du 25 mai 2018, le règlement européen sur la protection des données personnelles permettra aux autorités de contrôle d’opter pour des sanctions jusqu’à 20 millions d’euros et même 4 % du chiffre d’affaires annuel mondial en cas de manquement notamment au droit d’opposition des personnes.
WhatsApp et Facebook déjà condamnées à 110 millions d'euros d'amende
Ce n’est pas la première fois que le mariage entre ces deux acteurs est épinglé. En mai 2017, la Commission européenne infligeait cette fois 110 millions d’euros d’amende à Facebook pour avoir fourni des informations trompeuses lors du rachat de WhatsApp.
À cette occasion, la société chère à Mark Zuckerberg avait indiqué à l’institution européenne « qu’elle ne serait pas en mesure d'établir d'une manière fiable la mise en correspondance automatisée entre les comptes d'utilisateurs de Facebook et ceux de WhatsApp ».
En août 2016, comme déjà souligné, la société avait finalement combiné ces océans de données personnelles. Et l’enquête de la Commission avait révélé que Facebook était dès l’origine en capacité de faire ces correspondances automatisées.
WhatsApp mis en demeure par la CNIL pour ses transmissions de données à Facebook
-
Des contrariétés dans les CGU et la politique de confidentialité
-
« Business intelligence », ou le profilage de 10 millions de Français
-
Quand WhatsApp fait le mort
-
Jusqu’à 3 millions d’euros de sanction, en attendant le RGPD
-
WhatsApp et Facebook déjà condamnées à 110 millions d'euros d'amende
Commentaires (24)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 19/12/2017 à 09h13
Une goutte d’eau…
Et ça n’est pas avec la fin de la neutralité du net si chère à Porky que les choses vont aller dans le bon sens.
Le 19/12/2017 à 09h15
Porky?
Le 19/12/2017 à 09h18
Trump. Ou Ajit ?" />
Le 19/12/2017 à 09h28
Noooooon sans déconner ! J’en suis sans voix, vraiment j’aurais jamais cru que Whatsapp, un service racheté par facebook qui demande à peu prés tous les accès au téléphone (en quoi il a besoin de la localisation pour chatter) servirais simplement a pomper nos données pour les monétiser ?
Vous voulez dire, que Facebook pompe les données de Whatsapp ? …
#crédulité
Le 19/12/2017 à 09h28
4% du CA mondial ça fait 1,1 milliards de $. C’est déjà un peu plus sérieux, mais ça ne fait “que” 10% de leur résultat net…
Le 19/12/2017 à 09h34
Le 19/12/2017 à 09h48
Pourquoi la CNIL n’a pas attendu l’entrée en vigueur du RGDP pour pouvoir appliquer les nouvelles sanctions ?
Le 19/12/2017 à 15h57
Xprivacy me paraît abandonné à en juger par le topic XDA (officiel?) et le github du projet.
Le 19/12/2017 à 09h52
Le 19/12/2017 à 09h53
Je dirais que c’est plus une question de principe. Et puis la RGPD, c’est au niveau européen, donc il y aura potentiellement des attaques là-dessus en plus.
Le 19/12/2017 à 09h56
Je te laisse choisir " />
Le 19/12/2017 à 10h01
Bonne chance pour réguler le traitement des données alors que c’est le carburant des GAFA…
Le 19/12/2017 à 10h06
Certes, je parle de l’historique.
Quand je veux partager ma localisation pourquoi je ne lui donne pas le droit JUSTE à cet instant ? Le reste du temps, ce n’est pas utile pour lui ….
Le 19/12/2017 à 10h30
Le 19/12/2017 à 10h41
Le 19/12/2017 à 12h42
Merci pour cet article.
Je me “doutais” mais n’étais sûr de rien concernant Whatsapp, vu qu’ils se targuent de faire payer l’appli pour que l’utilisateur ne soient pas le produit, qu’ils vantent l’encryption bout-en-bout, bref, j’avoue avoir eu un doute.
Merci de remettre les pendules à l’heure, je vais définitivement migrer sur Signal et abandonner Whatsapp.
Le 19/12/2017 à 13h30
J’ai WhatsApp, et avec aucune autorisation accordée il fonctionne très bien pour usage basique (pas d’appel audio/vidéo, pas d’envoi d’images, etc). Donc ton “qui demande à peu prés tous les accès au téléphone (en quoi il a besoin de la localisation pour chatter)” est irrecevable.
Bon, après personnellement j’ai quand même besoin de l’autorisation de l’accès au stockage pour envoyer des GIF par exemple.
Le 19/12/2017 à 13h42
Sauf que tu oublie une chose, ça ne devrait JAMAIS être à l’utilisateur d’aller désactiver des autorisations … Ce serais simple une option “demander l’autorisation à chaque fois”
Le 19/12/2017 à 13h48
Je suis bien d’accord sur ça, mais c’est comme qui dirait un autre sujet du coup.
Le 19/12/2017 à 14h09
Le 19/12/2017 à 14h24
Parce que ce sont des applis avant tout archi grand public, et ce genre d’option n’intéresse qu’une brochette de geeks.
Le 19/12/2017 à 14h30
Donc pas une raison valable … Un besoin reste un besoin, la seule raison c’est qu’ils refusent d’aider les gens à désactiver le tracking vu qu’ils en vivent ce qui est finalement assez logique pour du gratuit où nous sommes le produit …
Le 19/12/2017 à 14h38
Le 19/12/2017 à 15h06
Exactement ^^ voyons, ce ne sont pas des voyous qui se foutent de ta vie privée, c’est une entreprise responsable qui pense à ses utilisateurs avant son bénéfice " />