WhatsApp veut rassurer les CNIL européennes avant le RGPD
WhatsApp s’engage à suspendre certains transferts de données de citoyens de l’UE jusqu’à l’entrée en vigueur du RGPD prévue le 25 mai prochain.
En attendant d’être pleinement alignés sur les dispositions du RGPD, nous allons mettre entre parenthèses certains transferts de données vers d’autres sociétés de notre maison mère Facebook.
WhatsApp et sa filiale irlandaise récemment constituée ont pris des engagements dans ce sens auprès de l’Information Commissioner’s Office.
L’équivalent britannique de notre CNIL avait ouvert une enquête à l’été 2016, dans la lignée d’une mise à jour de la politique de confidentialité associée à l’application de messagerie.
L’initiative avait été prise dans le cadre d’une démarche plus globale des autorités européennes de protection des données, réunies sous l’égide du groupe de travail Article 29.
Dans la version réactualisée de sa politique de confidentialité, WhatsApp précise échanger des informations avec « la famille de sociétés Facebook », dont elle fait partie depuis 2014.
Les informations en question servent officiellement trois finalités : l’analyse du fonctionnement des services, leur sécurité (lutte contre le spam et autres pratiques indésirables), ainsi que l’amélioration de l’expérience des utilisateurs, notamment par l’affichage de « suggestions de produits » et de « publicités pertinentes ».
Une question de statut
WhatsApp prétend que ses relations avec la « famille Facebook » relèvent de la sous-traitance (statut d’« operator » en anglais).
L’Information Commissioner’s Office considère qu’elles vont au-delà : le réseau social et ses satellites agissent aussi, au sens de la législation nationale, en tant que responsables de traitement (« controllers »), en ce sens qu’ils peuvent exploiter les données qui leur sont transmises pour améliorer leurs propres offres.
L’autorité britannique constate que les utilisateurs déjà inscrits au moment de la mise à jour de la politique de confidentialité – et des conditions d’utilisation – ont été informés par un court message qui incluait des liens vers les deux documents ainsi que vers une liste des principaux changements.
Il leur fallait absolument manifester leur accord pour continuer… et bénéficier de 30 jours pour se rendre éventuellement dans les paramètres du compte afin de s’opposer à la collecte de données pour les suggestions de produits et les publicités.
Cette option ne leur était proposée ni sur le volet sécurité, ni sur l’analyse du fonctionnement des services, ne leur laissant, en cas de désaccord, qu’une solution : arrêter d’utiliser l’app. Idem pour les nouveaux utilisateurs, qui ne pouvaient par ailleurs pas s’enregistrer sans accepter également la personnalisation des offres de produits et des annonces publicitaires.
Fin janvier, dans le cadre d’une réunion avec Article 29, WhatsApp et sa filiale irlandaise ont réaffirmé que les sociétés de Facebook n’avaient pas exploité de données pour leur propre bénéfice et n’avaient, par là même, pas agi en qualité de responsables de traitement. Tout au plus ont-elles apporté, en tant que sous-traitantes, « de l’aide […] dans des domaines comme l’infrastructure, l’analytique et la monétisation ».
Ni consentement ni intérêt légitime
L’Information Commissioner’s Office s’est considéré compétent du fait que les collectes de données à caractère personnel sont réalisées via des moyens de traitement situés au Royaume-Uni. En l’occurrence, une application mobile disponible en anglais et à installer sur des terminaux situés notamment sur le sol britannique.
L’autorité financée par le ministère de la Justice a surtout conclu que si WhatsApp avait effectivement réalisé les transferts de données sus-évoqués, il aurait contrevenu à la législation nationale, à défaut de base légale pour les traitements.
Par « base légale » s’entendent à la fois le consentement des utilisateurs et l’intérêt légitime.
Sur le premier point, WhatsApp n’a, estime l’Information Commissioner’s Office, pas suffisamment informé les utilisateurs de l’utilisation qui serait faite de leurs données eu égard aux finalités d’analyse et de sécurité. Quant au caractère « libre et spécifique » du consentement, il est remis en question par la nécessité de devoir accepter de façon générale les nouvelles conditions sous peine de devoir supprimer son compte.
Un tel mécanisme d’opposition ne permettrait pas d’assurer un juste équilibre entre l’intérêt de WhatsApp et celui des personnes concernées – sauf si la sécurité d’un individu était menacée.
Informé de ces conclusions le mois dernier, WhatsApp a décidé d’annoncer publiquement la suspension, jusqu’à l’entrée en vigueur du RGPD le 25 mai prochain, des transferts de données de citoyens européens susceptibles de relever d’une relation entre responsables de traitement (« controller-to-controller »).
On en surveillera les conséquences sur l’enquête en cours en France et qui a débouché sur une mise en demeure publique, la CNIL considérant que WhatsApp entendait bien, dans sa politique de confidentialité, informer les utilisateurs du fait que Facebook « effectue aussi un traitement distinct […] pour son propre compte ».