L’Essentiel : La CNIL envisage une sanction contre WhatsApp en raison du transfert de données vers Facebook sans base légale. Bien que la société n’ait pas encore été sanctionnée, elle a été sommée de cesser cette pratique. Les utilisateurs ne peuvent s’opposer à cette transmission qu’en supprimant leur compte, ce qui soulève des questions sur la transparence et le consentement. La CNIL affirme sa compétence, même sans établissement en France, car WhatsApp cible des utilisateurs français. Ce déséquilibre entre les intérêts de l’entreprise et ceux des utilisateurs pourrait entraîner des conséquences négatives pour ces derniers.

Transfert de données sans base légale

La CNIL n’a pas prononcé de sanction contre WhatsApp mais, vu la configuration du dossier, la procédure de sanction semble en très bonne voie. La société qui gère plus de dix millions de comptes utilisateurs en France, a été invitée à ne plus procéder, sans base légale, à la transmission de données nominatives vers la société Facebook Inc (entre autres, l’association des numéros de téléphone des utilisateurs de WhatsApp aux profils d’utilisateur de Facebook).

Opposition et suppression de compte

Les modalités de recueil du consentement préalable des utilisateurs à cette transmission n’ont pas été jugées valables, notamment car ceux-ci ne peuvent s’y opposer a posteriori qu’en supprimant leur compte. L’absence de transparence sur la transmission massive de données de WhatsApp vers Facebook Inc. est également pointée du doigt.

Compétence de la CNIL

Même si la société WhatsApp ne dispose ni d’un établissement sur le territoire français ni d’un établissement sur le territoire de l’Union Européenne, la CNIL s’est déclarée pleinement compétente. En effet, en proposant l’application WhatsApp à des utilisateurs se trouvant en France (et en langue française), la société recourt à des moyens de traitement situés sur le territoire français et est donc soumise à la loi française applicable en vertu du 2° du I de l’article 5 de la loi du 6 janvier 1978 modifiée.  Conformément à l’article 4 de la directive 95/46/CE du 24 octobre 1995 : « Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque […]  c) le responsable du traitement n’est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de la Communauté. »  De même, le 2° du I de l’article 5 de la loi Informatique et Libertés prévoit que sont soumis à ses dispositions les traitements pour lesquels le responsable sans être établi sur le territoire français ou sur celui d’un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français(…) .

Manque de transparence vis-à-vis des utilisateurs

Dans son avis n° 15/2011 du 13 juillet 2011, le G29 considère que Le consentement ne peut être valable que si la personne concernée est véritablement en mesure d’exercer un choix et s’il n’y a pas de risque de tromperie, d’intimidation, de coercition ou de conséquences négatives importantes si elle ne donne pas son consentement. Si les conséquences du consentement sapent la liberté de choix des personnes, le consentement n’est pas libre.

En l’espèce, si les personnes concernées ont bien été informées de la transmission de leurs données, il apparait qu’elles n’ont pas pu manifester leur volonté de façon libre et spécifique. Il ressort tant des constatations que des informations fournies par la société que le refus de la personne concernée de donner son consentement à la transmission de ses données s’accompagne nécessairement d’une conséquence négative importante puisqu’elle sera contrainte de supprimer son compte et ne pourra utiliser l’application WhatsApp.

Le G29 a également considéré dans l’avis précité que : Pour être valable, le consentement doit être spécifique. En d’autres termes, un consentement général, sans préciser la finalité exacte du traitement, n’est pas acceptable. Pour être spécifique, le consentement doit être intelligible. Il doit mentionner, de façon claire et précise, l’étendue et les conséquences du traitement des données […] Le consentement doit être donné sur les différents aspects, clairement définis, du traitement. […] En effet, il ne saurait être considéré comme couvrant toutes les finalités légitimes poursuivies par le responsable du traitement.

Déséquilibre significatif

Le seul moyen pour les utilisateurs de s’opposer à la transmission de leurs données à Facebook Inc. repose sur la suppression de leur compte. Or, un mécanisme d’opposition reposant sur la suppression définitive d’un compte ne permet pas d’assurer un juste équilibre entre l’intérêt de la société et l’intérêt des personnes concernées en ce qu’il a pour conséquence de priver la personne de l’utilisation d’un service.

Amende record contre Facebook

Toujours sur le volet des pratiques en cause, on rappellera que la Commission a infligé en mai 2017, une amende totale de 110 millions d’euros à Facebook pour avoir fourni des renseignements dénaturés concernant l’acquisition de WhatsApp en 2014 et cela en violation du règlement n° 139/2004 du 20 janvier 2004.

Lorsque Facebook a notifié l’acquisition de WhatsApp, la société a informé la Commission qu’elle ne serait pas en mesure d’établir d’une manière fiable la mise en correspondance automatisée entre les comptes d’utilisateurs de Facebook et ceux de WhatsApp.  La Commission a considéré que bien qu’ils aient leur importance, les renseignements inexacts ou dénaturés fournis par Facebook n’ont pas eu d’incidence sur le résultat de la décision d’autorisation.

Pour rappel, la Commission peut infliger des amendes allant jusqu’à 1 % du chiffre d’affaires total des entreprises qui, de propos délibéré ou par négligence, fournissent un renseignement inexact ou dénaturé à la Commission.

Télécharger 

Q/R juridiques soulevées :

Quelles sont les préoccupations de la CNIL concernant WhatsApp ?

La CNIL a exprimé des préoccupations majeures concernant la transmission de données personnelles de WhatsApp vers Facebook Inc. En effet, bien que la CNIL n’ait pas encore prononcé de sanction, elle a indiqué que la procédure de sanction est en bonne voie.

WhatsApp, qui gère plus de dix millions de comptes utilisateurs en France, a été invitée à cesser cette transmission de données sans base légale. Cela inclut l’association des numéros de téléphone des utilisateurs de WhatsApp avec les profils d’utilisateur de Facebook, ce qui soulève des questions sur la légalité de ces pratiques.

Comment les utilisateurs peuvent-ils s’opposer à la transmission de leurs données ?

Les utilisateurs de WhatsApp se trouvent dans une situation délicate concernant leur consentement à la transmission de leurs données. En effet, les modalités de recueil du consentement préalable n’ont pas été jugées valables par la CNIL.

Les utilisateurs ne peuvent s’opposer à cette transmission qu’en supprimant leur compte, ce qui soulève des questions sur la transparence et la liberté de choix. L’absence de moyens alternatifs pour refuser la transmission de données sans perdre l’accès à l’application est un point critique souligné par la CNIL.

Quelle est la position de la CNIL sur sa compétence concernant WhatsApp ?

La CNIL a affirmé sa compétence sur WhatsApp, même si la société n’a pas d’établissement en France ou dans l’Union Européenne. Cette compétence est justifiée par le fait que WhatsApp propose son application à des utilisateurs en France, utilisant des moyens de traitement situés sur le territoire français.

Cela signifie que la société est soumise à la loi française, conformément à l’article 5 de la loi du 6 janvier 1978 modifiée. La CNIL s’appuie également sur la directive 95/46/CE, qui stipule que les États membres doivent appliquer leurs lois aux traitements de données personnelles, même si le responsable du traitement n’est pas établi sur leur territoire.

Quelles sont les implications du manque de transparence pour les utilisateurs ?

Le manque de transparence sur la transmission des données de WhatsApp vers Facebook est un point critique. Selon l’avis du G29, le consentement des utilisateurs ne peut être considéré comme valable que s’ils sont en mesure d’exercer un choix libre et éclairé.

Dans le cas de WhatsApp, bien que les utilisateurs aient été informés de la transmission de leurs données, ils n’ont pas pu exprimer leur volonté de manière libre. Le refus de consentir à cette transmission entraîne des conséquences négatives, comme la suppression de leur compte, ce qui limite leur accès à l’application.

Comment le G29 définit-il le consentement dans le cadre de la protection des données ?

Le G29 définit le consentement comme devant être libre, spécifique et intelligible. Cela signifie que les utilisateurs doivent être en mesure de donner leur consentement sans pression ni conséquences négatives importantes.

Le consentement doit également être spécifique, c’est-à-dire qu’il doit préciser clairement la finalité du traitement des données. Un consentement général, sans détails sur les implications du traitement, n’est pas acceptable. Dans le cas de WhatsApp, le consentement des utilisateurs n’a pas respecté ces critères, ce qui soulève des préoccupations sur la légalité de la transmission des données.

Quel est le problème du déséquilibre entre les intérêts de WhatsApp et ceux des utilisateurs ?

Le déséquilibre significatif entre les intérêts de WhatsApp et ceux des utilisateurs est un point de préoccupation majeur. Les utilisateurs n’ont d’autre choix que de supprimer leur compte pour s’opposer à la transmission de leurs données à Facebook Inc.

Cette situation crée un désavantage pour les utilisateurs, car ils sont contraints de renoncer à l’utilisation d’un service qu’ils souhaitent continuer à utiliser. Un mécanisme d’opposition qui repose sur la suppression définitive d’un compte ne garantit pas un équilibre juste entre les intérêts de la société et ceux des personnes concernées.

Quelle amende a été infligée à Facebook pour ses pratiques concernant WhatsApp ?

En mai 2017, la Commission a infligé une amende record de 110 millions d’euros à Facebook pour avoir fourni des informations dénaturées lors de l’acquisition de WhatsApp en 2014. Cette amende a été imposée en raison de violations du règlement n° 139/2004.

Facebook avait initialement informé la Commission qu’il ne pouvait pas établir de manière fiable la mise en correspondance entre les comptes d’utilisateurs de Facebook et ceux de WhatsApp. Bien que ces informations aient été jugées inexactes, la Commission a estimé qu’elles n’avaient pas influencé la décision d’autorisation de l’acquisition.