C'est par une délibération du 12 décembre 2017 (publiée aujourd'hui) que la Commission Informatique et Libertés vient de mettre en demeure WhatsApp de se conformer à la loi française pour transmettre des données de ses utilisateurs à Facebook.
Plus exactement, elle considère que les modes de transmission actuels de la messagerie vers sa société mère sont illégaux et lui donne un mois pour se conformer. En application de la Loi Informatique et Libertés, Isabelle Falque-Pierrotin (la Présidente de la Cnil) lui demande notamment de recueillir leur consentement et de leur donner la possibilité de s'opposer à cette transmission tout en continuant à bénéficier du service.
Elle estime en effet que le consentement des utilisateurs n’est pas valablement recueilli car : - il n’est pas spécifique à cette finalité - lors de l’installation de l’application les utilisateurs doivent accepter que leurs données soient traitées pour le service de messagerie, mais également, de manière générale, par FACEBOOK Inc. pour des finalités accessoires, telle que l’amélioration de son service ; - il n’est pas libre - le seul moyen de s’opposer à la transmission des données pour la finalité accessoires de « business intelligence » est de désinstaller l’application.
La Commission dénonce ainsi une espèce d'impunité de fait dont entend se prévaloir la messagerie. Dans sa décision, elle relève que les services de la CNIL ont demandé à plusieurs reprises à la société WhatsApp de leur communiquer un échantillon des données des utilisateurs français transmises à Facebook. La société a indiqué ne pas être en mesure de fournir ces informations dans la mesure où, étant installée aux États-Unis, elle s’estime uniquement soumise à la législation de ce pays.
Rappelons que le nouveau règlement européen sur la protection des données personnelles (Règlement 2016/679 du 27 avril 2016) entrera en application le 25 mai 2018. Ce texte donne aux autorités de protection de nouveaux moyens d'actions (outre l'avertissement ou la mise en demeure) comme la suspension du flux des données ou l'obligation de satisfaire aux demandes d'exercice des droits des personnes. Mais la grande nouveauté concerne le prononcé des amendes administratives, qui peuvent s’élever, selon la catégorie de l’infraction, à 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
