La mise en demeure adressée par la CNIL à la société américaine WHATSAPP est riche d’enseignements concernant les conditions d’information et de consentement des personnes dont les données sont partagées entre plusieurs sociétés d’un groupe.
En l’occurrence, il est question de la pratique consistant pour la société WHATSAPP à remonter les données personnelles de ses utilisateurs à sa société mère, FACEBOOK, qui les partage avec d’autres sociétés du groupe, pour plusieurs finalités :
- Une finalité de « business intelligence » : qui permet à WHATSAPP de bénéficier de services de la part des autres sociétés de la famille FACEBOOK afin, par exemple, d’analyser les habitudes d’utilisation des utilisateurs,
- Une finalité de sécurité, afin notamment d’identifier des comptes abusifs ou frauduleux.
Dans ce cadre, WHATSAPP présentait FACEBOOK comme étant son sous-traitant, ce qui est une pratique assez courante dans un groupe de sociétés dès lors que la société mère met à disposition des outils informatiques et centralise les données collectées par ses filles. Un contrat conclu entre les deux sociétés reprenait cette qualification de sous-traitant envers FACEBOOK.
Cependant, conformément à sa jurisprudence et à l’avis du G29, la CNIL ne s’arrête pas aux termes de ce contrat et considère que FACEBOOK est en réalité également « responsable de traitement destinataire des données » de WHATSAPP, et non sous-traitant, car ces données personnelles sont réutilisées par FACEBOOK pour son propre compte et pour le compte des autres sociétés du groupe.
Par conséquent, WHATSAPP aurait dû recueillir le consentement libre et spécifique de ses utilisateurs pour transférer leurs données à FACEBOOK. Or, les CGU de l’application proposée par WHATSAPP n’étaient pas suffisamment explicites sur ce point, en particulier s’agissant des finalités de ce partage de données. La CNIL en conclut donc que le consentement des personnes ne pouvait être spécifique.
Ce consentement ne pouvait pas non plus être libre puisque la seule alternative pour les personnes ne souhaitant pas partager leurs données avec FACEBOOK était de supprimer leur compte de l’application.
La CNIL considère également que WHATSAPP ne peut invoquer son intérêt légitime comme base légale à la transmission des données dans la mesure où son intérêt légitime ne prend pas en compte l’intérêt des personnes concernées en ne leur permettant pas de s’opposer à la transmission de leurs données sans subir de conséquences négatives (suppression de leur compte WHATSAPP).
Or, selon la CNIL, vu les finalités du partage des données (la finalité de business intelligence n’apparait pas indispensable au fonctionnement de l’application et profite d’abord à l’entreprise), les personnes doivent avoir la possibilité de continuer à utiliser l’application, tout en s’opposant au partage de leurs données à FACEBOOK.
La CNIL en conclut que la transmission des données à FACEBOOK est dépourvue de base légale. Elle considère en outre que WHATSAPP a manqué à son obligation d’informer les personnes sur la transmission de leurs données à FACEBOOK et des finalités de cette transmission.
En conclusion, les sociétés qui collectent des données pour ensuite les partager avec d’autres qui les utilisent pour leur propre compte, notamment à des fins d’amélioration de la connaissance client, seront prudentes en :
- Informant les personnes, au moment de la collecte de leurs données, de la transmission de leurs données à des tiers et des finalités de ce partage,
- Permettant aux personnes de s’opposer, au moment de la collecte, au partage de leurs données, tout en maintenant la possibilité pour les personnes de bénéficier du produit ou service proposé par la société à l’origine de la collecte.
Les commentaires sont fermés.