Tout a commencé après le rachat de WhatsApp par Facebook en 2014. Après ce rachat, les fondateurs avaient promis que l’application conserverait sa marque et son siège social à Mountain View, et continuerait de fonctionner indépendamment, en parallèle à Facebook Messenger.
Seulement, le 25 août 2016, WhatsApp a changé ses conditions d’utilisation, en permettant aux entreprises d’envoyer des messages directement aux utilisateurs. WhatsApp a également indiqué qu’il allait partager les numéros de téléphone de son énorme base d’utilisateurs avec Facebook. « Nous allons explorer des façons dont les entreprises et vous pouvez communiquer ensemble […], comme passer des commandes, effectuer des transactions, obtenir des informations de rendez-vous, recevoir des bons et avis de livraisons, être informé des mises à jour de produits et services et du markéting », avait alors fait valoir WhatsApp sur son site.
Suite à cette mise à jour, le WP29 (groupe des CNIL européens) a demandé des explications à WhatsApp sur le traitement mis en place à l'occasion de ce transfert de données et a demandé à la société d'arrêter ce transfert à des fins publicitaires ciblées. Le WP29 a également chargé son sous-groupe chargé de la coopération en matière d'enquêtes et de sanctions de coordonner les actions des autorités prévoyant de mener des enquêtes.
C'est dans ce cadre que le président de la CNIL a décidé, afin de vérifier la conformité du traitement mis en œuvre par WhatsApp avec la loi, de procéder à des inspections en ligne, d'envoyer un questionnaire à l'entreprise puis de la convoquer ,
Il a été observé que la société WhatsApp transfère effectivement les données concernant ses utilisateurs à la société Facebook à des fins de « business intelligence » et de sécurité. Ainsi, les informations sur les utilisateurs telles que leur numéro de téléphone ou leurs habitudes d'utilisation sur l'application sont partagées.
Pour la CNIL, si l'objectif de sécurité semble essentiel au bon fonctionnement de l'application, il n'en va pas de même de l'objectif « business intelligence » qui vise à améliorer les performances et optimiser l'utilisation de l'application par l'analyse du comportement de ses utilisateurs.
Le président de la CNIL a estimé que le transfert de données de Whatsapp à Facebook à des fins de « business intelligence » ne s’appuie pas sur la base légale requise par la loi sur la protection des données pour tout traitement.
En particulier, ni le consentement des utilisateurs ni l'intérêt légitime de WhatsApp ne peuvent être utilisés comme arguments dans ce cas.
En effet, d'une part, le consentement n'est pas valablement recueilli pour les raisons suivantes :
il n'est pas spécifique à cet effet – lors de l'installation de l'application, les utilisateurs doivent accepter que leurs données soient traitées pour le service de messagerie, mais aussi, en général, par Facebook, à des fins accessoires telles que l'amélioration de son service ;
les utilisateurs n’ont pas le choix : la seule façon de refuser le transfert de données à des fins de « business intelligence » est de désinstaller l'application.
Par ailleurs, la CNIL a noté une violation de l’obligation de coopérer avec elle de WhatsApp.
Les services de la CNIL ont demandé à plusieurs reprises à WhatsApp de fournir un échantillon des données des utilisateurs français transférés à Facebook. La société a expliqué qu'elle ne pouvait pas fournir l'échantillon demandé par la CNIL puisqu'elle est située aux États-Unis et est seulement soumise à la législation de ce pays.
La CNIL, compétente dès lors qu'un opérateur traite des données en France, n'a donc pas pu examiner toute la portée de la mise en œuvre du traitement par la société à la loi Informatique et Libertés en raison de la violation de son obligation de coopérer avec la Commission en vertu de l'article 21 de la loi.
En conséquence, le président de la CNIL a décidé d'adresser un avis formel à la société WhatsApp pour se conformer à la loi sur la protection des données dans un délai d'un mois.
Si WhatsApp venait à ne pas respecter la mise en demeure dans le délai imparti, le président pourra alors nommer un enquêteur interne, qui va rédiger un rapport proposant que le comité restreint de la CNIL, chargé d'examiner les infractions à la loi sur la protection des données, sanctionne la société.
Source : CNIL
Et vous ?
Que pensez-vous de cette décision de la CNIL ?
La CNIL a ordonné à WhatsApp d'arrêter de partager des données avec Facebook
Dans un délai d'un mois
La CNIL a ordonné à WhatsApp d'arrêter de partager des données avec Facebook
Dans un délai d'un mois
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !