La CNIL met en demeure WHATSAPP de respecter la réglementation française relative aux données personnelles

Par décision du 27 novembre 2017, Isabelle FALQUE-PIERROTIN, Présidente de la Commission Nationale de l’Informatique et des Libertés a, sur le fondement de l’article 45 de la loi du 6 janvier 1978, décidé de mettre en demeure la société WHATSAPP de faire cesser les manquements constatés à cette même loi.

En 2014, la société FACEBOOK a procédé au rachat de la société WHATSAPP. Afin de tirer les conséquences de ce rachat, les sociétés ont convenu entre elles que les données des utilisateurs de l’application WHATSAPP, telles que les numéros ou les habitudes d’utilisation, seraient transmises aux sociétés de la famille FACEBOOK dans le cadre des finalités de « business intelligence ». Pour cela, la société WHATSAPP a mis à jour ses conditions d’utilisation ainsi que sa politique de confidentialité au sein de ses mentions légales, dont une nouvelle version a été mise en ligne le 25 août 2016.

Au cours de son contrôle, la délégation de la CNIL a constaté le 4 novembre 2016 que ces nouvelles conditions d’utilisation comprenaient une clause au sein de laquelle l’utilisateur de WHATSAPP consentait au transfert de ses données à FACEBOOK, à défaut de quoi il serait contraint de supprimer son compte, et ne plus utiliser l’application. Pour la CNIL, cette transmission de données ne repose sur aucune des bases légales qu’exige, pour tout traitement, l’article 7 de la loi informatique et libertés.

Suite à ce grief, la société WHATSAPP a indiqué disposer d’une double base légale s’agissant du traitement consistant à transmettre des données à FACEBOOK que sont le consentement des utilisateurs et son intérêt légitime. En raison des circonstances, la CNIL a estimé que ces deux bases légales ne pouvaient aucunement être invoquées dans la mesure où un mécanisme d’opposition reposant sur la suppression définitive d’un compte ne permet ni de garantir un consentement valablement recueilli, ni d’assurer un juste équilibre entre l’intérêt de la société et l’intérêt des personnes concernées en ce qu’il a pour conséquence de priver la personne de l’utilisation d’un service.

Le 12 décembre 2017, la CNIL a décidé de rendre publique ladite mise en demeure en raison de la gravité des manquements reprochés, du nombre significatif d’utilisateurs concernés, et de la faible coopération de WHATSAPP, ne lui ayant pas permis d’appréhender pleinement la conformité des traitements mis en œuvre à la loi Informatique et Libertés. Ladite publication s’avérait également indispensable afin de mettre les personnes concernées, soit près de 10 millions d’utilisateurs, en position de garder le contrôle de leurs données.

La société WHATSAPP dispose donc d’un mois, à compter de cette notification, afin de se conformer à la réglementation relative à la protection des données personnelles. A défaut, un rapporteur pourra être désigné et demander à la formation restreinte de la CNIL de prononcer une sanction à son encontre.