Par décision n°2017-075 du 27 novembre 2017, la Présidente de la CNIL, Madame Isabelle FALQUE-PIERROTIN, a, sur le fondement de l’article 45 de la loi du 6 janvier 1978 modifiée, décidé de mettre en demeure la société WHATSAPP INC sise 1601, Willow Road, Menlo Park, California (94025), de faire cesser sous un délai d’un mois à compter de la notification de ladite décision, les manquements constatés à cette même loi, notamment celui relatif à l’obligation de disposer d’une base légale pour les traitements mis en œuvre.
Par décision n°2017-300 du 12 décembre dernier, le bureau de la CNIL a décidé de rendre publique cette décision n°2017-075 de mettre en demeure la société WHATSAPP INC.
Explication.
WHATSAPP est une application mobile multiplateforme qui fournit un système de messagerie instantanée via Internet et via les réseaux mobiles. Elle est utilisée, en 2017, par plus d'un milliard de personnes quotidiennement.
Après son rachat en 2014 par FACEBOOK, la société WHATSAPP a, le 25 août 2016, publié une nouvelle version des conditions d’utilisation et de la politique de confidentialité de l’application « WhatsApp ». Il y est mentionné que les données de ses utilisateurs sont désormais transmises à la société FACEBOOK Inc. pour trois finalités : le ciblage publicitaire, la sécurité et l’évaluation et l’amélioration des services (« business intelligence »).
A la suite de cette annonce, le G29 qui regroupe les CNIL européennes a réclamé des éclaircissements à WHATSAPP sur les traitements ainsi réalisés à l’occasion de cette transmission de données, tout en demandant qu’elle soit interrompue concernant le ciblage publicitaire.
Le G29 a également missionné son sous-groupe en charge de la coopération en matière d’enquêtes et de sanctions (« enforcement subgroup »), notamment pour qu’il coordonne les actions des autorités souhaitant mener des investigations.
C’est dans ce contexte que la Présidente de la CNIL a décidé, pour vérifier la conformité à la loi « Informatique et Libertés » des traitements opérés par WHATSAPP, de diligenter des contrôles en ligne et sur questionnaire puis de convoquer la société pour une audition.
La CNIL qui est compétente dès lors qu’un opérateur met en œuvre des moyens de traitement situés en France a été informée que les données des 10 millions d’utilisateurs français n’avaient en réalité jamais été traitées à des fins de ciblage publicitaire.
Ces investigations ont néanmoins permis de constater, selon la CNIL, qu’il aurait été au moins deux manquements principaux à loi Informatique et Libertés.
Un manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre
La CNIL constate, en premier lieu, que la société WHATSAPP transmet effectivement à la société FACEBOOK Inc. des données concernant ses utilisateurs à des fins de « business intelligence » et de sécurité.
Sont ainsi partagées des informations sur les utilisateurs telles que leur numéro de téléphone ainsi que des informations relatives à leurs habitudes d’utilisation de l’application.
Si la finalité de sécurité peut être regardée comme essentielle au bon fonctionnement de l’application, il en va différemment de la finalité de « business intelligence » qui via l’analyse du comportement des utilisateurs de l’application, vise à améliorer ses performances et à optimiser son exploitation.
La Présidente de la CNIL a estimé que la transmission de données de WHATSAPP vers FACEBOOK Inc. pour cette finalité de « business intelligence » ne reposait sur aucune des bases légales qu’exige, pour tout traitement, la loi informatique et libertés.
En particulier, ni le consentement des utilisateurs ni l’intérêt légitime de WHATSAPP ne peuvent être invoqués dans les circonstances de l’espèce.
En effet, d’une part, le consentement des utilisateurs n’est pas valablement recueilli car :
il n’est pas spécifique à cette finalité : lors de l’installation de l’application les utilisateurs doivent accepter que leurs données soient traitées pour le service de messagerie, mais également, de manière générale, par FACEBOOK Inc. pour des finalités accessoires, telle que l’amélioration de son service ;
il n’est pas libre : le seul moyen de s’opposer à la transmission des données pour la finalité accessoires de « business intelligence » est de désinstaller l’application.
D’autre part, toujours selon la CNIL, la société WHATSAPP ne peut se prévaloir de son intérêt légitime à transférer massivement des données à la société FACEBOOK Inc. dans la mesure où cette transmission ne s’accompagne pas des garanties suffisantes permettant de préserver l’intérêt ou les droits et libertés fondamentaux des utilisateurs puisqu’il n’existe aucun mécanisme leur permettant de s’y opposer tout en continuant à utiliser l’application.
Un manquement à l’obligation de coopérer avec la Commission
Les services de la CNIL indique avoir demandé à plusieurs reprises à la société WHATSAPP de leur communiquer un échantillon des données des utilisateurs français transmises à FACEBOOK Inc.
La société WHATSAPP a indiqué ne pas être en mesure de fournir ces informations dans la mesure où, étant installée aux Etats-Unis, elle s’estime uniquement soumise à la législation de ce pays.
Ce faisant, la CNIL estime qu’elle n’a pas été mise en mesure d’examiner pleinement la conformité des traitements mis en œuvre par la société, en raison du manquement de celle-ci à son obligation de coopérer avec la Commission résultant de l’article 21 de la loi informatique et libertés.
La Présidente de la CNIL a donc décidé de mettre en demeure la société WHATSAPP de se conformer à la loi dans un délai d’un mois.
En outre, il a été décidé de rendre publique cette mise en demeure afin d’assurer le plus haut niveau de transparence sur la transmission massive de données d’un grand nombre d’utilisateurs de WHATSAPP vers FACEBOOK Inc. et ainsi d’alerter sur la nécessité de mettre les personnes concernées en position de garder le contrôle de leurs données.
Ce choix résulte également du fait que la société WHATSAPP a insuffisamment coopéré avec la CNIL, ce qui n’a pas permis de contrôler pleinement la conformité de cette transmission de données, alors même qu’elle participe à l’augmentation de la quantité considérable d’informations dont dispose FACEBOOK Inc., y compris sur des non-utilisateurs de son réseau social.
Dans sa décision du 12 décembre 2017, la CNIL précise toutefois que cette mise en demeure n'est pas une sanction. Aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l'objet d'une publicité.
Si la société ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui proposera le cas échéant à la formation restreinte de la CNIL, chargée de réprimer les manquements à la loi, de prononcer une sanction.
Par conséquent, chacun des internautes concernés, utilisateurs de WHATSAPP, peut désormais faire valoir ses droits s’il estime qu’il y a été porté atteinte au regard des dispositions protectrices de la loi informatique et libertés.
En effet, la CNIL estime clairement que chacun des utilisateurs de ce réseau de messagerie doit demeurer en position de garder le contrôle de ses données personnelles.
Il convient dès lors à chacun de veiller à la réponse que la société WHATSAPP ne manquera certainement pas de faire dans les prochains jours ou les prochaines semaines.
Affaire à suivre, donc...
Pour tous renseignements, contacter :
Arnaud de SAINT REMY
Avocat Associé – Ancien Bâtonnier de l’Ordre des avocats
Président de la Conférence Régionale des Bâtonniers de Normandie
Membre du Conseil de l’Ordre des avocats au barreau de Rouen
https://www.linkedin.com/in/arnaud-de-saint-remy-a65582122/
adestremy@emo-hebert.com