Whatsapp communique à Facebook vos données

Avertissement de la CNIL : Whatsapp communique vos données à Facebook

La présidente de la CNIL met la société WHATSAPP en demeure de procéder légalement à la transmission des données de ses utilisateurs à FACEBOOK, notamment en obtenant leur consentement.

En 2014, la société WHATSAPP a été rachetée par la société FACEBOOK Inc. Le 25 août 2016, la société WHATSAPP a publié une nouvelle version des conditions d’utilisation et de la politique de confidentialité de l’application « WhatsApp ». Il y est mentionné que les données de ses utilisateurs sont désormais transmises à la société FACEBOOK Inc. pour trois finalités : le ciblage publicitaire, la sécurité et l’évaluation et l’amélioration des services (« business intelligence »).

A la suite de cette annonce, le G29 (groupe des CNIL européennes) a sollicité des  explications de la part de WHATSAPP sur les traitements réalisés à l’occasion de cette transmission de données, tout en demandant qu’elle soit interrompue concernant le ciblage publicitaire. Le G29 a également missionné son sous-groupe en charge de la coopération en matière d’enquêtes et de sanctions (« enforcement subgroup »), notamment pour qu’il coordonne les actions des autorités souhaitant mener des investigations.

C’est dans ce contexte que la Présidente de la CNIL a décidé, pour vérifier la conformité à la loi « Informatique et Libertés » des traitements opérés par WHATSAPP, de diligenter des contrôles en ligne et sur questionnaire puis de convoquer la société pour une audition.

La CNIL a été informée par la société que les données des 10 millions d’utilisateurs français n’avaient en réalité jamais été traitées à des fins de ciblage publicitaire.

Ces investigations ont néanmoins permis de constater plusieurs manquements à loi « Informatique et Libertés ».

  • Un manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre.

Il a été constaté que la société WHATSAPP transmet effectivement à la société FACEBOOK Inc. des données concernant ses utilisateurs à des fins de « business intelligence » et de sécurité. Sont ainsi partagées des informations sur les utilisateurs telles que leur numéro de téléphone ainsi que des informations relatives à leurs habitudes d’utilisation de l’application.

Si la finalité de sécurité peut être regardée comme essentielle au bon fonctionnement de l’application, il en va différemment de la finalité de « business intelligence » qui via l’analyse du comportement des utilisateurs de l’application, vise à améliorer ses performances et à optimiser son exploitation.

La Présidente de la CNIL a estimé que la transmission de données de WHATSAPP vers FACEBOOK Inc. pour cette finalité de « business intelligence » ne reposait sur aucune des bases légales qu’exige, pour tout traitement, la loi informatique et libertés.

En particulier, ni le consentement des utilisateurs ni l’intérêt légitime de WHATSAPP ne peuvent être invoqués dans les circonstances de l’espèce.

En effet, d’une part, le consentement des utilisateurs n’est pas valablement recueilli car :

  • il n’est pas spécifique à cette finalité – lors de l’installation de l’application les utilisateurs doivent accepter que leurs données soient traitées pour le service de messagerie, mais également, de manière générale, par FACEBOOK Inc. pour des finalités accessoires, telle que l’amélioration de son service ;
  • il n’est pas libre – le seul moyen de s’opposer à la transmission des données pour la finalité accessoires de « business intelligence » est de désinstaller l’application.

D’autre part, la société WHATSAPP ne peut se prévaloir de son intérêt légitime à transférer massivement des données à la société FACEBOOK Inc. dans la mesure où cette transmission ne s’accompagne pas des garanties suffisantes permettant de préserver l’intérêt ou les droits et libertés fondamentaux des utilisateurs puisqu’il n’existe aucun mécanisme leur permettant de s’y opposer  tout en continuant à utiliser l’application.

  • Un manquement à l’obligation de coopérer avec la Commission

Les services de la CNIL ont demandé à plusieurs reprises à la société WHATSAPP de leur communiquer un échantillon des données des utilisateurs français transmises à FACEBOOK Inc.  La société a indiqué ne pas être en mesure de fournir ces informations dans la mesure où, étant installée aux Etats-Unis, elle s’estime uniquement soumise à la législation de ce pays.

La CNIL, qui est compétente dès lors qu’un opérateur met en œuvre des moyens de traitement situés en France, n’a donc pas été en mesure d’examiner pleinement la conformité des traitements mis en œuvre par la société, en raison du manquement de celle-ci à son obligation de coopérer avec la Commission résultant de l’article 21 de la loi informatique et libertés.

La Présidente de la CNIL met en demeure la société WHATSAPP de se conformer à la loi dans un délai d’un mois.

La Présidente et les deux vice-présidents de la CNIL ont décidé de rendre publique cette mise en demeure afin d’assurer le plus haut niveau de transparence sur la transmission massive de données d’un grand nombre d’utilisateurs de WHATSAPP vers FACEBOOK Inc. et ainsi d’alerter sur la nécessité de mettre les personnes concernées en position de garder le contrôle de leurs données.

Ce choix résulte également du fait que la société WHATSAPP a insuffisamment coopéré avec la CNIL, ce qui n’a pas permis de contrôler pleinement la conformité de cette transmission de données, alors même qu’elle participe à l’augmentation de la quantité considérable d’informations dont dispose FACEBOOK Inc., y compris sur des non-utilisateurs de son réseau social.

La CNIL rappelle que cette mise en demeure n’est pas une sanction. Aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité.

Si la société ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui proposera le cas échéant à la formation restreinte de la CNIL, chargée de réprimer les manquements à la loi, de prononcer une sanction.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.