Le 18 décembre 2017, la Commission nationale de l’informatique et des libertés (CNIL) a rendu publique une mise en demeure adressée à la société Whatsapp, contrôlée par le groupe Facebook, pour manquement à l’obligation de disposer d’une base légale pour les traitements de données mis en œuvre. Pour rappel, une mise en demeure similaire avait été adressée à Facebook en février 2016. Les explications d’Arnaud Touati, avocat associé, co-fondateur du cabinet Alto Avocats, et Gary Cohen, collaborateur.
L’activité du régulateur français dans la protection des données personnelles ne cesse de croître et cela se mesure au nombre de décisions rendues publiques au cours des dernières semaines. En effet, après avoir mis en demeure une société étrangère quant à la violation du droit au respect de la vie privée par nos objets connectés (CNIL, 4 déc. 2017, Genesis Industries Limited), la CNIL s’attaque désormais au groupe Facebook, par le biais de sa filiale Whatsapp (rachetée en 2014), mise en cause par la CNIL, et lui reproche d’avoir transféré des données personnelles à Facebook, sans que la loi ne l’y autorise (CNIL, 18 déc. 2017, Whatsapp).
Applicabilité à Whatsapp du droit français et européen
Une question se pose de prime abord et concerne l’applicabilité du droit français ou européen à Whatsapp qui ne dispose d’aucune société, ni établissement, sur le territoire européen. Il fallait donc, avant tout, démontrer que la société américaine pouvait être tenue pour une réglementation étrangère à celle des États-Unis (Whatsapp comptabilise, en 2017, 10,8 millions d’utilisateurs en France, avec près de 100 millions de messages échangés quotidiennement sur la plateforme).
Pour cela, la Commission se fonde sur les articles 4 de la directive 95/46/CE de l’Union européenne (Dir. 95/46/CE, 24 oct. 1995, JOCE 23 nov. 1995, n° L 281/31, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données), et 5 de la loi informatique et libertés modifiée du 6 janvier 1978 (L. n° 78-17, 6 janv. 1978, JO 7 janv., art. 5), qui disposent notamment que « Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque (...) c) le responsable du traitement n'est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre (...) ».
Or, il est indéniable que Whatsapp, d’une part, collecte bien des données à caractère personnel (numéro de téléphone, identité, etc.) et a recours à des moyens de traitement situés sur le territoire français, dans la mesure où ces moyens sont autant de téléphones portables utilisés en France pour échanger via le système américain de messagerie.
Par conséquent, Whatsapp avait et a toujours l’obligation de se conformer aux dispositions des droits interne et européen relatifs à la protection des données personnelles, et notamment à l’obligation de disposer d’une base légale pour les traitements mis en œuvre.
Les fondements de la mise en demeure
Concrètement, il est apparu dans les conditions générales d’utilisation de la messagerie que certaines informations pouvaient être transmises à Facebook dans un double objectif :
« Business intelligence », à savoir une analyse des données afin, selon les termes de la firme, de « développer et étendre son activité » ;
La sécurité, notamment pour permettre de lutter contre les comptes abusifs ou les contrefacteurs.
Mais pour la CNIL, le premier objectif n’est pas assez spécifique pour qu’elle puisse considérer qu’il s’agit là d’une base légale suffisante pour procéder à la transmission des données des utilisateurs vers Facebook.
En outre, la CNIL a également pu constater que, lors de la création de son compte Whatsapp, l’utilisateur n’est pas informé que ses données pourront être transmises à Facebook, ce qui constitue une violation de l’article 32 de la loi de 1978, selon lequel « La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant (...) ».
Enfin, le régulateur rappelle à Whatsapp que son manque de coopération est également sanctionnable au titre de l’article 21 de la même loi. De son côté, Facebook estime, que sa société étant installée aux États-Unis, elle est uniquement soumise à la législation américaine.
Tous ces éléments ont incité la CNIL à mettre en demeure la société de se conformer à la législation applicable sous un délai de 1 mois, à défaut de quoi la Commission pourra engager les sanctions prévues par l’article 47, à savoir potentiellement 3 millions d’euros (cette sanction est cependant peu probable ; 100 000 € seulement ont été réclamés à Google en 2016, CNIL, 24 mars 2006, Google).
Une sanction dérisoire pour le groupe Facebook…
Source : Actualités du droit
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des contenus et services adaptés.
En savoir plus
-
Refuser
Accepterx
