La Cnil reproche à WhatsApp de partager une partie des données sur ses utilisateurs avec Facebook sans aucune base légale. Le service de messagerie dispose d’un mois pour prouver la légalité de ses actions.

La Commission nationale de l’informatique et des libertés (Cnil) a décidé de mettre en demeure WhatsApp. Elle estime que le transfert d’une partie des données des utilisateurs du service de messagerie instantanée vers Facebook ne repose « sur aucune des bases légales qu’exige, pour tout traitement, la loi informatique et libertés ».

Rappelons que, dans le droit français, une mise en demeure est une interpellation formelle qui vise, dans le cas présent, à dénoncer une pratique et demander la résolution d’un problème. Autrement dit, la Cnil force WhatsApp à rendre des comptes avant de décider si elle va poursuivre l’entreprise en justice.

Pourquoi WhatsApp partage ses données avec Facebook ?

Dans son communiqué, l’autorité en charge du respect des libertés sur Internet rappelle les faits. WhatsApp étant un service appartenant à Facebook, ses conditions d’utilisation ont été modifiées en août 2016. Il y était alors écrit que les données des utilisateurs étaient transmises à la maison-mère pour trois raisons différentes : le ciblage publicitaire, la sécurité et l’évaluation et l’amélioration des services (« business intelligence »).

Après avoir enquêté, la Cnil « a été informée par la société que les données des 10 millions d’utilisateurs français n’avaient en réalité jamais été traitées à des fins de ciblage publicitaire. Ces investigations ont néanmoins permis de constater plusieurs manquements à loi Informatique et Libertés », lit-on.

Qu’est-ce qui pose problème ?

Si la commission estime légitime la transmission des données à des fins sécuritaires, « il en va différemment de la finalité de « business intelligence » qui via l’analyse du comportement des utilisateurs de l’application, vise à améliorer ses performances et à optimiser son exploitation ».

Et c’est précisément ici que le bât blesse, car, d’après la Cnil, les arguments de WhatsApp ne sont pas recevables. Voici ce qu’écrit l’autorité à ce propos :

En effet, d’une part, le consentement des utilisateurs n’est pas valablement recueilli, car :

  • il n’est pas spécifique à cette finalité — lors de l’installation de l’application les utilisateurs doivent accepter que leurs données soient traitées pour le service de messagerie, mais également, de manière générale, par Facebook Inc. pour des finalités accessoires, telle que l’amélioration de son service ;
  • il n’est pas libre — le seul moyen de s’opposer à la transmission des données pour la finalité accessoires de « business intelligence » est de désinstaller l’application.

D’autre part, la société WhatsApp ne peut se prévaloir de son intérêt légitime à transférer massivement des données à la société Facebook Inc. dans la mesure où cette transmission ne s’accompagne pas des garanties suffisantes permettant de préserver l’intérêt ou les droits et libertés fondamentaux des utilisateurs puisqu’il n’existe aucun mécanisme leur permettant de s’y opposer tout en continuant à utiliser l’application.

Manque de coopération et délais d’un mois

La Cnil regrette également le manque de coopération de WhatsApp. On apprend en effet que l’entreprise a refusé de partager un échantillon des données des utilisateurs français transmises à Facebook et justifie son choix en indiquant qu’elle s’estimait soumise uniquement à la législation des États-Unis, où l’entreprise est installée.

WhatsApp a donc un mois pour répondre à la Cnil. Si la firme ne respecte pas ce délai, l’organisme français se garde le droit d’engager des sanctions à son encontre. Affaire à suivre.