La Commission nationale de l'informatique et des libertés met en demeure WhatsApp de se conformer à la loi française pour procéder au transfert des données de ses utilisateurs à Facebook.

Si Facebook n'en fait qu'à sa tête, la Commission nationale de l'informatique et des libertés (Cnil) se fâche. L'autorité française chargée de la régulation des données personnelles vient de rappeler à l'ordre WhatsApp, rachetée en 2014 par Facebook. Elle demande à l'entreprise et à sa maison mère de se conformer à la loi française dans un délai de trois mois, en ce qui concerne la transmission des données entre l'application et le géant du Web.

La Présidente et les deux vice-présidents de la Cnil ont «décidé de rendre publique cette mise en demeure afin d'assurer le plus haut niveau de transparence sur la transmission massive de données d'un grand nombre d'utilisateurs de WhatsApp vers Facebook Inc. et ainsi d'alerter sur la nécessité de mettre les personnes concernées en position de garder le contrôle de leurs données», explique le régulateur dans un communiqué que l'on sent un brin courroucé.

«La vie privée est très importante aux yeux de WhatsApp, fait savoir un porte-parole de la société. C'est pourquoi nous collectons très peu de données, et chiffrons chaque message. Nous allons continuer à travailler avec la Cnil pour nous assurer que les utilisateurs comprennent quelles informations nous collectons et comment elles sont utilisées. Nous tenons à résoudre les différends et les préoccupations conflictuelles soulevées par les autorités de protection de données personnelles européennes».

Facebook jugé peu coopératif

Facebook et WhatsApp se sont mis à dos l'ensemble des régulateurs de données européens (le G29) ainsi que la Commission européenne depuis qu'elles ont décidé de faire pot commun des données personnelles de leurs utilisateurs. Facebook avait pourtant garanti qu'elle ne pourrait pas recouper ses informations avec celles de l'application WhatsApp lors de son rachat en 2014. S'estimant trompée, Bruxelles a sanctionné Facebook d'une amende de 110 millions d'euros, tandis que plusieurs enquêtes ont été lancées par le groupement des Cnil européennes, le G29, afin de cerner ce qui était véritablement fait de ces données. L'un d'entre elles, menée par la Cnil, a permis de constater que WhatsApp ne respectait pas la loi française en matière de protection des données, malgré plusieurs rappels à l'ordre du régulateur.

La Cnil affirme ainsi avoir demandé à plusieurs reprises à la société WhatsApp de lui communiquer des échantillons de données transmises à Facebook. «La société a indiqué ne pas être en mesure de fournir ces informations dans la mesure où, étant installée aux États-Unis, elle s'estime uniquement soumise à la législation de ce pays» s'agace le régulateur français. Selon l'article 21 de la loi Informatique et Libertés, Facebook est pourtant obligé de coopérer avec l'autorité pour prouver qu'il est en conformité sur la transmission de données de citoyens français. Des investigations ont permis à la Cnil de déterminer que les données des 10 millions d'utilisateurs français de Whatsapp avaient bien été envoyées à Facebook à des fins de sécurité et de «business intelligence», mais non à des fins publicitaires. Des motifs «dont les contours restent flous», estime Isabelle Falque Pierrotin au micro de BFM Business.

Outre cette absence de coopération, la Cnil a constaté lors de son enquête plusieurs violations à la loi portant sur le consentement des utilisateurs au partage de leurs données. Près d'un tiers des utilisateurs de WhatsApp ont pourtant affirmé qu'ils ne souhaitaient pas que leurs données soient utilisées à des fins publicitaires par Facebook, rappelle Isabelle Falque Pierrotin dans son interview à BFM Business. Selon la loi, «les utilisateurs doivent pouvoir s'opposer à une finalité (...) tout en continuant d'utiliser l'application» . WhatsApp oblige pourtant ses utilisateurs à partager leurs données à Facebook sous peine de ne plus pouvoir se servir de l'application.

Autre motif reproché à WhatsApp: l'absence de clarté et de légitimité dans la finalité du partage des données. Facebook a affirmé recueillir les données à des fins de sécurité, de ciblage publicitaire ou encore de «business intelligence» (analyse de données) mais pour la Cnil, «la société WhatsApp ne peut se prévaloir de son intérêt légitime à transférer massivement des données à la société Facebook Inc. dans la mesure où cette transmission ne s'accompagne pas des garanties suffisantes permettant de préserver l'intérêt ou les droits et libertés fondamentaux des utilisateurs». En Europe, la vie privée est ainsi considérée comme un droit inaliénable et non cessible contre l'accès à un service.

Un précédent avec Google

Cette mise en demeure n'est pas une première. La Cnil s'y était déjà livrée avec WhatsApp en février 2016, pour les mêmes motifs. Elle avait également mis en demeure Google en 2013, suite au refus de l'entreprise de procéder au déréférencement sollicité par des citoyens européens. En 2016, cette procédure avait fini par aboutir à une sanction de 100.000 euros contre Google. Si la société ne se conforme pas à la mise en demeure dans le délai imparti,» la Présidente pourra désigner un rapporteur qui proposera le cas échéant à la formation restreinte de la Cnil, chargée de réprimer les manquements à la loi, de prononcer une sanction», explique le régulateur.

Le régulateur peut actuellement prononcer une peine allant jusqu'à une amende de 3 millions d'euros, soit un montant dérisoire pour Facebook. Mais la Cnil préside aussi le groupement des régulateurs de données européens, avec lesquels elle mène une action coordonnée sur le cas de Facebook. Son homologue belge, la Commission de la protection de la vie privée (CPVP) affronte depuis octobre Facebook au tribunal de première instance de Bruxelles car elle l'accuse de récolter illégalement des informations sur les non-membres de sa communauté. L'entreprise fait également l'objet de plusieurs enquêtes de la part d'autorités de la concurrence en Europe. «Demain, le nouveau cadre juridique européen changera la relation entre l'Europe et les Etats-Unis», ajoute encore Isabelle Falque Pierrotin auprès de BFM Business. Le règlement général pour la protection des données (RGPD) obligera Facebook à répondre aux exigences de l'Europe s'il souhaite accéder à son marché de 500 millions d'utilisateurs.