Small nick 01

Jérôme BENBIHI

Mise en demeure de WhatsApp par la CNIL : un avant-goût du RGPD ?

 

whatsapp

Le 18 décembre 2017, la Commission nationale de l’informatique et des libertés (CNIL) a rendu publique une mise en demeure adressée à WhatsApp, l’accusant de procéder légalement à la transmission des données de ses utilisateurs à Facebook, notamment en obtenant leur consentement. WhatsApp transmet en effet à Facebook des données telles que le numéro de téléphone de ses utilisateurs ainsi que leurs habitudes.

Si la CNIL constate aujourd’hui plusieurs manquements à la loi Informatique et Libertés, ces mises en demeure risquent de se multiplier lorsque le RGPD sera entré en vigueur, le 25 mai 2018. Selon la CNIL, WhatsApp enfreint la loi Informatique et Libertés à plusieurs égards. Elle a constaté que le consentement des utilisateurs n'est pas valablement recueilli faute d'être libre : en effet, le seul moyen de s'opposer à la transmission des données pour la finalité accessoires de business intelligence est de désinstaller l'application. Par ailleurs, pour la CNIL, une insuffisante coopération avec ses services n'a pas permis de contrôler pleinement la conformité de cette transmission de données, alors même qu'elle participe à l'augmentation de la quantité considérable d'informations dont dispose Facebook Inc., y compris sur des non-utilisateurs de son réseau social.

Dans quelques mois, le Règlement Général sur la Protection des Données sera appliqué dans toute l’Union Européenne et ce type de mise en demeure risque de se multiplier considérablement. Les pays européens disposeront d’un arsenal législatif commun et leur légitimité à vérifier et éventuellement sanctionner les pratiques illégales des entreprises reposera sur la citoyenneté des utilisateurs (si des utilisateurs sont européens, les CNIL européennes sont compétences ; la domiciliation de l’entreprise n’aura pas d’impact). Les autorités compétentes pourront vérifier précisément la légalité des consentements obtenus. Pour rappel, l’article 4.(11)  du GDPR définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Ceci dit que :

  • le consentement ne peut être donné sous contrainte,
  • qu’il doit correspondre à un traitement précis,
  • que l’utilisateur doit être clairement informé,
  • qu’il doit clairement donner son accord (pas d’opt-out).

Toute personne doit donner son consentement par une déclaration ou un acte positif clair par lequel elle manifeste de façon libre, éclairée et spécifique et unique son accord au traitement de ses données. La personne doit pouvoir retirer son consentement aussi facilement qu’elle l’a donné et en être informée. Toute demande de consentement de la part d’une entreprise doit être compréhensible, accessible, claire et simple avec des informations permettant à la personne de se décider. Enfin, tout consentement doit pouvoir être prouvé : l’entreprise doit conserver qui a consenti, ce à quoi la personne a consenti et à quel moment elle a consenti (écrit, trace électronique, etc.)

Article publié sur LinkedIn

Laissez un commentaire