Type de juridiction : Conseil d’Etat

Juridiction : Conseil d’Etat

Thématique : WhatsApp : vers une sanction de la CNIL ?

Transfert de données sans base légale

La CNIL n’a pas prononcé de sanction contre WhatsApp mais, vu la configuration du dossier, la procédure de sanction semble en très bonne voie. La société qui gère plus de dix millions de comptes utilisateurs en France, a été invitée à ne plus procéder, sans base légale, à la transmission de données nominatives vers la société Facebook Inc (entre autres, l’association des numéros de téléphone des utilisateurs de WhatsApp aux profils d’utilisateur de Facebook).

Opposition et suppression de compte

Les modalités de recueil du consentement préalable des utilisateurs à cette transmission n’ont pas été jugées valables, notamment car ceux-ci ne peuvent s’y opposer a posteriori qu’en supprimant leur compte. L’absence de transparence sur la transmission massive de données de WhatsApp vers Facebook Inc. est également pointée du doigt.

Compétence de la CNIL

Même si la société WhatsApp ne dispose ni d’un établissement sur le territoire français ni d’un établissement sur le territoire de l’Union Européenne, la CNIL s’est déclarée pleinement compétente. En effet, en proposant l’application WhatsApp à des utilisateurs se trouvant en France (et en langue française), la société recourt à des moyens de traitement situés sur le territoire français et est donc soumise à la loi française applicable en vertu du 2° du I de l’article 5 de la loi du 6 janvier 1978 modifiée.  Conformément à l’article 4 de la directive 95/46/CE du 24 octobre 1995 : « Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque […]  c) le responsable du traitement n’est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de la Communauté. »  De même, le 2° du I de l’article 5 de la loi Informatique et Libertés prévoit que sont soumis à ses dispositions les traitements pour lesquels le responsable sans être établi sur le territoire français ou sur celui d’un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français(…) .

Manque de transparence vis-à-vis des utilisateurs

Dans son avis n° 15/2011 du 13 juillet 2011, le G29 considère que Le consentement ne peut être valable que si la personne concernée est véritablement en mesure d’exercer un choix et s’il n’y a pas de risque de tromperie, d’intimidation, de coercition ou de conséquences négatives importantes si elle ne donne pas son consentement. Si les conséquences du consentement sapent la liberté de choix des personnes, le consentement n’est pas libre.

En l’espèce, si les personnes concernées ont bien été informées de la transmission de leurs données, il apparait qu’elles n’ont pas pu manifester leur volonté de façon libre et spécifique. Il ressort tant des constatations que des informations fournies par la société que le refus de la personne concernée de donner son consentement à la transmission de ses données s’accompagne nécessairement d’une conséquence négative importante puisqu’elle sera contrainte de supprimer son compte et ne pourra utiliser l’application WhatsApp.

Le G29 a également considéré dans l’avis précité que : Pour être valable, le consentement doit être spécifique. En d’autres termes, un consentement général, sans préciser la finalité exacte du traitement, n’est pas acceptable. Pour être spécifique, le consentement doit être intelligible. Il doit mentionner, de façon claire et précise, l’étendue et les conséquences du traitement des données […] Le consentement doit être donné sur les différents aspects, clairement définis, du traitement. […] En effet, il ne saurait être considéré comme couvrant toutes les finalités légitimes poursuivies par le responsable du traitement.

Déséquilibre significatif

Le seul moyen pour les utilisateurs de s’opposer à la transmission de leurs données à Facebook Inc. repose sur la suppression de leur compte. Or, un mécanisme d’opposition reposant sur la suppression définitive d’un compte ne permet pas d’assurer un juste équilibre entre l’intérêt de la société et l’intérêt des personnes concernées en ce qu’il a pour conséquence de priver la personne de l’utilisation d’un service.

Amende record contre Facebook

Toujours sur le volet des pratiques en cause, on rappellera que la Commission a infligé en mai 2017, une amende totale de 110 millions d’euros à Facebook pour avoir fourni des renseignements dénaturés concernant l’acquisition de WhatsApp en 2014 et cela en violation du règlement n° 139/2004 du 20 janvier 2004.

Lorsque Facebook a notifié l’acquisition de WhatsApp, la société a informé la Commission qu’elle ne serait pas en mesure d’établir d’une manière fiable la mise en correspondance automatisée entre les comptes d’utilisateurs de Facebook et ceux de WhatsApp.  La Commission a considéré que bien qu’ils aient leur importance, les renseignements inexacts ou dénaturés fournis par Facebook n’ont pas eu d’incidence sur le résultat de la décision d’autorisation.

Pour rappel, la Commission peut infliger des amendes allant jusqu’à 1 % du chiffre d’affaires total des entreprises qui, de propos délibéré ou par négligence, fournissent un renseignement inexact ou dénaturé à la Commission.

Télécharger