Le gendarme français des données personnelles ouvre le feu : WhatsApp est mis en demeure. La Cnil lui reproche de manquer à la loi Informatique et Libertés en ne recueillant pas correctement le consentement de ses utilisateurs et en refusant de coopérer.
WhatsApp avait promis de ne pas communiquer de données à Facebook après son rachat. Cet engagement n’a pas été tenu et depuis les deux sociétés sont dans le viseur des autorités européennes. En mai, la Commission européenne considérait que Facebook lui avait communiqué « des informations incorrectes et trompeuses » au moment du rachat et condamnait l’entreprise américaine à 110 millions d’euros d’amende. Puis le G29 est revenu à la charge, courant octobre, rappelant à Facebook que les garanties présentées par WhatsApp n’étaient pas suffisantes et que son recueil du consentement des utilisateurs laissait toujours à désirer.
Faute de mise en conformité, le groupe de travail faisait planer la menace de sanctions rapides et avait mis sur pied une « taskforce » rassemblant les enquêtes en cours dans les différents pays européens. C’est dans ce cadre qu’hier la Cnil a annoncé avoir mis en demeure WhatsApp. Suite à des contrôles en ligne et à une audition de la société, le gendarme des données personnelles a constaté plusieurs manquements.
La BI n’est pas une finalité légitime
Son enquête a permis de déterminer que 10 millions d’utilisateurs français de WhatsApp sont concernés, mais que leurs données n’ont pas été envoyées à Facebook à des fins publicitaires. C’est à la sécurité et à l’amélioration des services, qualifiée ici sous le terme « business intelligence », qu’ont servi les données transférées. Concernant le motif de la sécurité, aucun problème, écrit la Cnil. Au contraire de la BI, qui ne repose « sur aucune des bases légales qu’exige, pour tout traitement, la loi informatique et libertés ».
« Ni le consentement des utilisateurs ni l’intérêt légitime de Whatsapp ne peuvent être invoqués dans les circonstances de l’espèce » signale la Cnil. En effet, le consentement par défaut et non spécifique à cette finalité n’est pas valable aux yeux du régulateur. D’autant que WhatsApp n’offre pas de mécanisme permettant aux utilisateurs de refuser le transfert tout en continuant à utiliser l’application, préférant le principe du tout ou rien. Ce faisant, le service de messagerie instantanée « ne peut se prévaloir de son intérêt légitime à transférer massivement des données » à Facebook.
Votre manque de coopération me désole
Autre manquement de WhatsApp : son manque de coopération. La société a refusé de communiquer à la Cnil un échantillon des données des utilisateurs français envoyées à Facebook, prétextant qu’elle n’est pas soumise à la législation française, puisque société américaine. Or la Cnil est compétente dans ce genre de cas, WhatsApp étant disponible en France et utilisé par des citoyens et citoyennes français. Facebook écope donc d’une mise en demeure qui lui laisse un mois pour se mettre en conformité, sans quoi la sanction financière tombera.