Mise en demeure de WhatsApp par la CNIL : un avant-goût du RGPD ?

Thomas Coëffé
Publié le
Sommaire

La CNIL a adressé une mise en demeure publique à l’encontre de la société WhatsApp. L’entreprise est accusée de transmettre des données à Facebook Inc. sans le consentement des utilisateurs. Si la CNIL constate aujourd’hui plusieurs  manquements à la loi Informatique et Libertés, ces mises en demeure risquent de se multiplier lorsque le RGPD sera entré en vigueur (25 mai 2018).

Une mise à jour des CGU qui passe mal en Europe

En août 2016, WhatsApp a mis à jour ses conditions d’utilisation. Le G29 (groupe des CNIL européennes) a rapidement réagi et demandé à WhatsApp de s’expliquer. En effet, ces nouvelles CGU permettent à WhatsApp de transmettre aux autres entités de l’écosystème Facebook certaines données personnelles des utilisateurs.

L’Allemagne puis le Royaume-Uni ont interdit ces pratiques, avant que WhatsApp ne décide d’arrêter le partage de données « à des fins publicitaires » en Europe. En d’autres termes, WhatsApp continue de transmettre des données à Facebook pour la sécurité et l’amélioration des services mais n’utilise pas ces données pour le ciblage publicitaire. À ce sujet, la société a rassuré la CNIL : « les données des 10 millions d’utilisateurs français n’avaient en réalité jamais été traitées à des fins de ciblage publicitaire. »

Les manquements à la loi constatés par la CNIL

En revanche, selon la CNIL, WhatsApp enfreint la loi Informatique et Libertés à plusieurs égards. La notion de « donnée essentielle pour le bon fonctionnement de l’application » est retenue pour finalité de « sécurité » mais pas pour la finalité de « business intelligence » (le fait de recueillir des données pour améliorer l’application). La Présidente de la CNIL estime que WhatsApp ne s’appuie sur aucune base légale, contrairement à ce qu’exige la loi Informatique et Libertés, pour tout traitement.

La CNIL estime donc que le consentement n’est pas « valablement recueilli » :

  • Car il n’est pas spécifique à cette finalité (les utilisateurs donnent un consentement global, pour le traitement de leurs données par WhatsApp d’une part, et Facebook Inc. d’autre part, pour des finalités accessoires).
  • Car il n’est pas libre (les utilisateurs sont obligés d’accepter ces CGU pour utiliser l’application, il ne peuvent pas renoncer au consentement).

La CNIL accuse également WhatsApp de manquer à son « obligation de coopérer » avec la Commission. La CNIL a souhaité – à plusieurs reprises – obtenir un échantillon des données des utilisateurs français transmises à Facebook Inc. L’entreprises a toujours refusé, contestant ainsi la légitimité de la CNIL. La Commission rappelle « qu’elle est compétente dès lors qu’un opérateur met en œuvre des moyens de traitement situés en France » et regrette de ne pas avoir « été en mesure d’examiner pleinement la conformité des traitements mis en œuvre par [WhatsApp] ».

La CNIL accorde un délai d’un mois à WhatsApp pour se conformer à la loi. Si WhatsApp l’accepte, l’affaire sera close. Dans le cas contraire, un processus pourrait être engagé, à l’issu duquel une sanction pourrait être prononcée.

Un avant goût du RGPD

Dans quelques mois, le Règlement Général sur la Protection des Données sera appliqué dans toute l’Union Européenne. La France a d’ailleurs récemment publié un projet de loi pour adapter la loi française. Grandes nouveautés législatives : les pays européens disposeront d’un arsenal législatif commun et leur légitimité à vérifier et éventuellement sanctionner les pratiques illégales des entreprises reposera sur la citoyenneté des utilisateurs (si des utilisateurs sont européens, les CNIL européennes sont compétences ; la domiciliation de l’entreprise n’aura pas d’impact).

Lorsque le RGPD sera appliqué, ce type de mise en demeure risque de devenir légion. Les autorités compétentes pourront vérifier précisément la légalité des consentements obtenus. Rappelons que « le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant ». Les adjectifs « libre, spécifique, éclairé et univoque » sont importants, ils signifient que :

  • le consentement ne peut être donné sous contrainte,
  • qu’il doit correspondre à un traitement précis,
  • que l’utilisateur doit être clairement informé,
  • qu’il doit clairement donner son accord (pas d’opt-out).

En attendant le 25 mai, pour vérifier le caractère « RGPD-ready » de vos pratiques, vous pouvez réaliser ce quiz conçu par Mailjet.

Sujets liés :
Publier un commentaire
Ajouter un commentaire

Votre adresse email ne sera pas publiée.

Les meilleurs outils pour les professionnels du web

Leto

RGPD
Un logiciel RGPD collaboratif qui automatise la conformité des données

Emplifi

Analyse des réseaux sociaux
Une plateforme pour optimiser sa stratégie sur les médias sociaux

Kolsquare

Marketing d'influence
Un outil complet pour trouver des influenceurs, créer et gérer vos campagnes d'influence
BDM / Articles / Web / Mise en demeure de WhatsApp par la CNIL : un avant-goût du RGPD ?

Sur le même thème

Bureautique

Calendrier 2023 à imprimer : jours fériés, vacances, numéros de semaine, format Excel, PDF…
Bureautique

Calendrier scolaire 2023-2024 avec les dates des vacances scolaires des zones A, B et C
Bureautique

Windows : la liste des raccourcis clavier à connaître
Bureautique

70 raccourcis clavier ALT pour insérer un caractère spécial
Boîte mail

Comment créer une adresse email sur Gmail, Outlook, Yahoo et Proton
Messagerie

Comment utiliser WhatsApp sur son ordinateur