La transmission de données : une opération qui doit être sécurisée

La CNIL a mis en demeure la société WHATSAPP de transmettre les données de ses utilisateurs à la société FACEBOOK en s’appuyant sur une base légale, conformément à la législation.

Suite au rachat de la société WHATSAPP par la société FACEBOOK en 2014, les données de la société rachetée ont été transmises pour trois finalités : le ciblage publicitaire, la sécurité, l’évaluation et l’amélioration des services.

Le G29 (groupement des CNIL européennes) a demandé à la société WHATSAPP d’apporter des précisions relatives au traitement de ces données et a formulé la demande d’exclure le ciblage publicitaire des finalités de traitement.

Pas de traitement à des fins de ciblage publicitaire mais plusieurs failles relevées

Dans ce cadre, la CNIL a ainsi opéré un contrôle de conformité du traitement à la loi « informatique et libertés ». Bien qu’il ait été établi que ladite société n’a pas traité les données de ses utilisateurs à des fins de ciblage publicitaire, plusieurs failles à la loi « informatique et libertés » ont été mises en exergue via le contrôle de la CNIL.

En effet, un manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre a été établi. La transmission de ces données avait pour objet la sécurité et la « business intelligence », l’équivalent en français de l’optimisation des services offerts aux utilisateurs. Or, la CNIL a justement rappelé qu’aucune base légale ne prévoit de traitement pour cette opération. La loi « informatique et libertés » quant à elle ne permet pas les traitements dépourvus de base légale, rendant le traitement pour optimiser les services interdit.

Le principe de consentement et le manque de coopération au cœur de la décision

La CNIL a également précisé que ni le consentement des utilisateurs, ni l’intérêt légitime de la société à procéder à ce traitement ne peut être valablement accepté. D’une part, le consentement n’est pas donné à la société FACEBOOK mais à la société WHATSAPP et d’autre part, le consentement n’est pas libre car l’utilisateur est contraint de le donner pour utiliser l’application.

Enfin, un manquement à l’obligation de coopération avec les autorités de contrôle a été constaté. En effet, la société WHATSAPP, dont le siège social est aux Etats-Unis, a considéré ne pas être soumise au droit européen et français et a refusé de coopérer lors de l’examen de la CNIL. La CNIL a donc mis en demeure la société de se mettre en conformité au droit en vigueur et lui a offert un délai d’un mois pour ce faire.

A titre d’information, il est nécessaire de rappeler que le règlement européen sur la protection des données sera d’application directe au 25 mai 2018 et que toutes les sociétés doivent lui être conformes, qu’il s’agisse d’une multinationale dont le siège social est étranger à l’Union européenne, ou d’une PME.