WhatsApp mis en demeure par la CNIL pour ses transmissions de données à Facebook

Hier, en fin de journée, la CNIL a mis en demeure la société WhatsApp de procéder à une mise en conformité s’agissant de la transmission des données personnelles de ses utilisateurs dans les bras de Facebook. Un bras de fer qui en dit long sur le niveau de considération de ces géants des services en ligne pour les lois nationales.

Tout est parti d’un contrôle par les agents de la Commission à l’automne 2016. Classiquement, l’entreprise a contesté l’application de la loi française et européenne, s’estimant concernée par le seul droit américain. Seulement, la CNIL lui a rappelé que dès lors qu’un acteur est situé hors de l’Union européenne tout en y disposant de « moyens », le droit européen s’applique dans toute sa plénitude.

Le « moyen » ici en cause est tout simplement la célèbre application de messagerie « à installer sur des terminaux mobiles situés notamment sur le territoire français, qui permet de collecter les données des utilisateurs telles que leurs nom, prénom, numéro de téléphone ou photographie ». En outre, ce service est « disponible en langue française et ses options de paramétrage permettent son utilisation par des personnes situées sur le territoire français ».

Quel est le problème soulevé par la Commission ? La société rachetée par Facebook en 2014 avait mis à jour ses conditions générales d’utilisation deux ans plus tard. Selon les nouvelles CGU, les données des utilisateurs sont désormais partagées avec Facebook, sauf opposition des utilisateurs dans un délai de trente jours.

Toutefois, « aucune information relative aux traitements de données à caractère personnel mis en place par la société n’est présente sur le formulaire permettant de créer un compte sur l’application » a relevé la CNIL dans sa délibération.

La puce à l’oreille, celle-ci a donc poussé les investigations, en s’intéressant tout particulièrement aux données effectivement transmises de WhatsApp à Facebook. Et c’est en soulevant cette couverture qu’une multitude de contrariétés à la loi CNIL a jailli.

Des contrariétés dans les CGU et la politique de confidentialité 

Déjà, les conditions générales et la politique de confidentialité ne disent pas vraiment la même chose. D’un côté, il est affirmé en substance que Facebook ne traite pas les données transmises, de l’autre que le même réseau peut les utiliser.

Par ces quelques lignes, confirmées par des pièces transmises à l’autorité, Facebook a reconnu finalement passer du statut de sous-traitant à celui de responsable de traitement. Or, la CNIL a eu beau lire et relire les éléments présentés aux utilisateurs, jamais ceux-ci n’ont eu la possibilité d’accorder un consentement « spécifique » à ce traitement.

Pire, explique la commission, l’analyse a révélé que « les données à caractère personnel de l’ensemble des utilisateurs de l’application WhatsApp sont transmises à Facebook inc., même dans le cas où une personne utilisant WhatsApp ne posséderait pas de compte sur le site Facebook inc. ou sur les autres plateformes gérées par les sociétés de la famille Facebook inc. ».

S’ajoute à cela que la seule façon pour l’utilisateur de s’opposer à la majorité de ces traitements est la suppression définitive du compte. Une forme de chantage qui ne permet vraiment pas d’assurer une juste proportion entre les intérêts de l’internaute et celles de la société. La CNIL a sur ce point conclu à l’absence de droit d’opposition.

« Business intelligence », ou le profilage de 10 millions de Français

La problématique gagne en intensité lorsqu’on s’approche des finalités des traitements entre WhatsApp et Facebook. L’une d’elles vise le « business intelligence », anglicisme derrière lequel Facebook s’offre la possibilité de profiler très précisément chacun des 10 millions d’utilisateurs de WhatsApp en France.

Voilà qui fait un peu beaucoup : « ce traitement massif d’informations par un seul acteur et pour des finalités non clairement déterminées, entraine un déséquilibre au détriment de l’utilisateur qui ne peut être corrigé qu’en lui permettant de garder la maitrise de ses données » déplore encore la CNIL.

Mieux, les formulaires WhatsApp sont bien silencieux sur les finalités pour lesquelles les données sont transmises à Facebook et les droits dont disposent les personnes concernées. Un beau défaut d’information couplé à un manquement à l’obligation de coopérer avec la CNIL.

Quand WhatsApp fait le mort

Dans ses multiples échanges, la Commission a demandé à WhatsApp de lui fournir les documents « encadrant les échanges de données entre [elle] et les sociétés destinataires des données ». Mais le 27 février 2017, « la société a indiqué ne pas comprendre la nature de la documentation sollicitée ».

Même blocage quand la CNIL a réclamé cette fois les données transmises entre les acteurs sur un échantillon de 1 000 personnes. Le 20 juillet 2017, « la société a indiqué que la transmission de l’échantillon demandé par la CNIL se heurtait à des problématiques juridiques, car ses bases de données sont situées aux États-Unis et que seule la loi américaine est applicable ».

Énième opposition lorsque WhatsApp s’est vue réclamer de transmettre les documents internes montrant que Facebook agit bien en qualité de sous-traitant. « Le 20 juillet 2017, la société a indiqué avoir mis en place des contrats de sous-traitance avec la société Facebook et avec ses prestataires de service, mais que de tels contrats étaient soumis à des obligations de confidentialité ».

La CNIL s’est ainsi retrouvée dans l’incapacité d’examiner la conformité du traitement au regard de la loi du 6 janvier 1978, alors que son article 21 oblige les sociétés sollicitées à coopérer et surtout à ne pas s’opposer à ces investigations.

Dans sa délibération, rendue volontairement publique, WhatsApp est mise en demeure de ne plus transmettre sans base légale, dans un délai d’un mois, les données des utilisateurs Facebook pour la finalité de « business intelligence ».

Elle est contrainte de « procéder à l’information des personnes auprès desquelles des données à caractère personnel sont collectées » et ce, « notamment en faisant figurer sur le formulaire de création de comptes, les mentions d’information prévues à cet article, en particulier les finalités pour lesquelles les données sont transmises à Facebook inc. et les droits dont disposent les personnes concernées ».

Enfin, elle est tenue de transmettre à la Commission l’ensemble des données communiquées par WhatsApp à Facebook sur l’échantillon sollicité.

Jusqu’à 3 millions d’euros de sanction, en attendant le RGPD

À défaut, la CNIL pourra infliger l’une des sanctions prévues par la loi CNIL, une amende de 3 millions d’euros, ou ordonner l’interruption du traitement de certaines des données à caractère personnel pour une durée maximale de trois mois.

Ces menaces sont ridicules par rapport à la puissance de ces géants, néanmoins la CNIL peut toujours décider de rendre publiques les hypothétiques sanctions, ce qui n’est jamais glorieux pour un service en ligne basé sur la confiance des utilisateurs.

Ajoutons enfin qu’à partir du 25 mai 2018, le règlement européen sur la protection des données personnelles permettra aux autorités de contrôle d’opter pour des sanctions jusqu’à 20 millions d’euros et même 4 % du chiffre d’affaires annuel mondial en cas de manquement notamment au droit d’opposition des personnes.

WhatsApp et Facebook déjà condamnées à 110 millions d'euros d'amende

Ce n’est pas la première fois que le mariage entre ces deux acteurs est épinglé. En mai 2017, la Commission européenne infligeait cette fois 110 millions d’euros d’amende à Facebook pour avoir fourni des informations trompeuses lors du rachat de WhatsApp.

À cette occasion, la société chère à Mark Zuckerberg avait indiqué à l’institution européenne « qu’elle ne serait pas en mesure d'établir d'une manière fiable la mise en correspondance automatisée entre les comptes d'utilisateurs de Facebook et ceux de WhatsApp ».

En août 2016, comme déjà souligné, la société avait finalement combiné ces océans de données personnelles. Et l’enquête de la Commission avait révélé que Facebook était dès l’origine en capacité de faire ces correspondances automatisées.