La Commission Nationale Informatique et Liberté (CNIL) a mis la société WHATSAPP en demeure de mettre en conformité avec la loi française ses opérations de transmission des données personnelles de ses utilisateurs à FACEBOOK.
Cette décision s’inscrit dans le prolongement du rachat de WHATSAPP par la société FACEBOOK Inc. survenu en 2014. Le 25 août 2016, WHATSAPP a publié de nouvelles conditions d’utilisation ainsi qu’une nouvelle politique de confidentialité de son application d’échange de messages. Les utilisateurs de WHATSAPP y étaient informés que leurs données seraient désormais transmises à la société FACEBOOK Inc. à des fins de sécurité et d’évaluation et d’amélioration des services (« business intelligence »). A la suite de cette annonce, le G29, qui réunit les CNIL européennes, a pris des mesures pour obtenir un complément d’informations sur les traitements envisagés et coordonner les investigations menées par ses membres.
C’est dans ce contexte que, pour la France, qui compte dix millions d’utilisateurs de l’application, la CNIL a décidé de vérifier la légalité des traitements opérés par WHATSAPP. Les investigations menées ont révélé plusieurs manquements à loi « Informatique et Libertés ».
La décision du 27 novembre 2017 répond d’abord à WHATSAPP qui contestait l’applicabilité de la loi française au motif que cette société est établie aux Etats-Unis et ne dispose d’aucun établissement sur le territoire européen. La CNIL observe néanmoins que « la société collecte des données à caractère personnel en ayant recours à des moyens de traitement situés sur le territoire français. En effet, la société met à disposition un service de messagerie via une application à installer sur des terminaux mobiles situés notamment sur le territoire français, qui permet de collecter les données des utilisateurs telles que leurs nom, prénom, numéro de téléphone ou photographie. Ce service est de surcroît disponible en langue française et ses options de paramétrage permettent son utilisation par des personnes situées sur le territoire français. Il en résulte qu’en proposant l’application WhatsApp à des utilisateurs se trouvant en France, la société recourt à des moyens de traitement situés sur le territoire français et est donc soumise à la loi française applicable en vertu du 2° du I de l’article 5 de la loi du 6 janvier 1978 modifiée ».
La CNIL a également écarté l’argument de WHATSAPP qui contestait toute responsabilité de FACEBOOK Inc. dans le traitement des données : « au regard du contenu de la politique de confidentialité de l’application et de la rubrique Questions et réponses, des réponses apportées par la société, FACEBOOK Inc. doit être considérée, en application des dispositions de la loi Informatique et Libertés, comme responsable de traitement destinataire des données à caractère personnel collectées par la société WHATSAPP et non comme un sous-traitant ».
Quant aux manquements constatés, le premier porte sur l’obligation de disposer d’une base légale pour les traitements mis en œuvre. WHATSAPP considérait que la transmission des données à FACEBOOK Inc. était justifiée légalement d’une part, par le consentement donné par les utilisateurs et d’autre part, par l’intérêt légitime de cette société.
S’agissant du consentement, la CNIL juge au contraire que « si les personnes concernées ont bien été informées de la transmission de leurs données, il apparait qu’elles n’ont pas pu manifester leur volonté de façon libre et spécifique ». Le consentement n’était pas libre car le seul moyen de s’opposer à la transmission des données consistait à supprimer son compte et par voie de conséquence à ne plus pouvoir utiliser l’application. Il n’était pas non plus spécifique car les conditions d’utilisation et la politique de confidentialité ne permettaient pas à l’utilisateur de comprendre de manière suffisamment intelligible quelle utilisation serait faite de ses données.
En ce qui concerne, l’intérêt légitime, la CNIL admet « que la société dispose d’un intérêt légitime à transmettre les données de ses utilisateurs vers FACEBOOK Inc. dans le but d’améliorer son service de messagerie instantanée ». Il importait toutefois de « mettre en balance cet intérêt avec l’intérêt et les droits et libertés des personnes concernées ».
Or, il apparaissait que les données à caractère personnel de l’ensemble des utilisateurs de l’application WhatsApp étaient transmises à FACEBOOK Inc., sans qu’il soit distingué selon que l’utilisateur de WhatsApp possède ou pas également un compte FACEBOOK. « Cela signifie que les données de ces personnes sont transmises à un autre responsable de traitement avec lequel elles n’entretiennent aucun lien ».
La CNIL regrette ensuite que le seul moyen de s’opposer à la transmission des données soit de désinstaller l’application : « un mécanisme d’opposition reposant sur la suppression définitive d’un compte ne permet pas d’assurer un juste équilibre entre l’intérêt de la société et l’intérêt des personnes concernées en ce qu’il a pour conséquence de priver la personne de l’utilisation d’un service ».
L’absence de mécanisme d’opposition n’a pas davantage été jugée satisfaisante au regard des finalités poursuivies car « si la seconde finalité (sécurité et sureté) peut passer pour essentielle au bon fonctionnement de l’application, il en va différemment de la première finalité dite de business intelligence.En effet, une telle finalité vise à analyser le comportement des utilisateurs de l’application afin d’en améliorer les performances et d’en optimiser l’exploitation afin de permettre à la société d’étendre son activité. Ainsi, quand bien même une analyse business intelligence des données peut dans une certaine mesure, contribuer à améliorer l’application au bénéfice des utilisateurs, d’une part, cette finalité n’apparait pas indispensable à son fonctionnement et d’autre part, l’avantage que tire la société de la transmission des données lui profite au premier chef. Chacun de ces points justifient que les utilisateurs puissent disposer du droit de s’y opposer, tout en continuant d’utiliser l’application ».
La CNIL a en définitive considéré au visa de l’article 7 de la loi du 6 janvier 1978, que « la transmission des données des utilisateurs vers FACEBOOK Inc. par la société est dépourvue de base légale faute pour elle de respecter, dans la recherche de son intérêt légitime en tant que responsable de traitement, l’intérêt et les droits et libertés des personnes, en mettant à leur disposition un mécanisme d’opposition à la transmission de leurs données à caractère personnel ».
Le second manquement relevé porte sur l’obligation de coopérer avec la CNIL, par référence à l’article 21 de la loi du 6 janvier 1978 qui dispose que les « dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche ». Or, WHATSAPP a refusé de répondre à l’ensemble des demandes qui lui ont été adressées, en indiquant ne pas comprendre la nature de la documentation sollicitée ou en invoquant ses obligations de confidentialité et l’inapplicabilité de la loi française. La CNIL n’a pas été en mesure d’obtenir un échantillon des données transmises à FACEBOOK Inc. ni la liste exhaustive des données transmises à cette société, de sorte que la Commission s’est trouvée dans l’impossibilité d’examiner dans son ensemble, la conformité des traitements mis en œuvre par la société à la loi « Informatique et Liberté ».
WHATSAPP a finalement été mise en demeure de, dans le délai d’un mois :
- ne pas procéder sans base légale à la transmission des données des utilisateurs vers la société FACEBOOK Inc. dans le cadre de la première finalité de business intelligence ;
- procéder à l’information des personnes auprès desquelles des données à caractère personnel sont collectées, dans les conditions prévues à l’article 32 de la loi du 6 janvier 1978 modifiée, notamment en faisant figurer sur le formulaire de création de compte, les mentions d’information prévues à cet article, en particulier les finalités pour lesquelles les données sont transmises à FACEBOOK Inc. et les droits dont disposent les personnes concernées ;
- communiquer à la Commission l’ensemble des données communiquées par WHATSAPP à FACEBOOK Inc. pour un échantillon de mille utilisateurs situés sur le territoire français ;
- justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.
Cette décision a été assortie d’une délibération du bureau de la CNIL qui, compte tenu de la gravité des manquements constatés, de la nécessité de mettre les personnes concernées en position de garder le contrôle de leurs données et du manque de coopération de WHATSAPP, a décidé de rendre publique la mise en demeure notifiée à cette société.
CNIL, décision du 27 novembre 2017 ; Délibération du bureau de la CNIL du 12 décembre 2017