La CNIL met en demeure WhatsApp sur les données transmises à Facebook

Sur le web

Par Elodie le

La Commission Informatique et Libertés a relevé plusieurs manquements de l’application de messagerie chiffrée. Parmi eux, l’absence de consentement des utilisateurs pour le transfert de leurs données vers la maison mère Facebook.

« La présidente de la CNIL met la société WHATSAPP en demeure de procéder légalement à la transmission des données de ses utilisateurs à FACEBOOK, notamment en obtenant leur consentement », la Commission ayant relevé plusieurs « manquements à l’obligation de disposer d’une base légale pour les traitements mis en œuvre ».

Deux ans après son rachat par Facebook pour 16 milliards de dollars, l’application de messagerie chiffrée publie de nouvelles conditions d’utilisation dans lesquelles Whatsapp s’octroie le droit de transmettre les données de ses utilisateurs à la maison mère pour trois finalités : le ciblage publicitaire, la sécurité et l’amélioration des services (« business intelligence »). C’était sans compter sur le holà imposé par le Royaume-Uni, suivi peu de temps après par le G29 (groupement des CNIL européennes).

Non coopération et manquements

La CNIL a en outre demandé à plusieurs reprises à WhatsApp de lui transmettre un échantillon des données d’utilisateurs français transmises à Facebook. Ce à quoi l’application a opposé une fin de non-recevoir, estimant ne pas être tenue de le faire puisqu’elle dépend de la législation des États-Unis où se situe son siège.

Si la CNIL a constaté un non-usage des données personnelles des 10 millions d’utilisateurs français à des fins publicitaires, celles-ci ont été utilisées à des fins de sécurité et de « business intelligence ». Numéro de téléphone et habitudes d’utilisation de l’application des utilisateurs sont donc parvenus à Facebook. Et ce, alors même que la finalité de « business intelligence » ne reposait sur aucune des bases légales, estime la CNIL. Le consentement des utilisateurs n’a pas été recueilli et il est impossible de s’opposer à la transmission de ces données spécifiques, sauf à désinstaller WhatsApp.

Jusqu’à 3 millions d’euros d’amende

Il reste un mois à la firme pour se mettre en conformité avec la loi. Passé ce délai, un rapporteur sera désigné par la présidente de la CNIL qui pourra proposer la création d’une formation restreinte, elle-même à même de prononcer une sanction.

Autrefois plafonné à 150 000 euros (300 000 en cas de récidive), le montant maximum des sanctions ont été revus à la hausse (anticipation sur le règlement européen applicable le 25 mai 2018). L’amende des contrevenants peut désormais s’élever à 3 millions d’euros et jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une entreprise).

Facebook a déjà été sanctionné par la CNIL pour des manquements relatifs à la gestion des données personnelles (cookies notamment). De son côté, Bruxelles a infligé une amende de 110 millions de dollars à Menlo Park pour lui avoir intentionnellement fourni des « informations trompeuses » lors du rachat de WhatsApp concernant un éventuel croisement de données utilisateurs.

Source: Source