Après la Cnil et le Commissaire hambourgeois, le G29 se saisit du partage des données entre WhatsApp et Facebook.
Les inquiétudes du groupe de l’article 29 suite aux modifications de la politique de confidentialité de WhatsApp
En août 2016, WhatsApp a modifié sa politique de confidentialité en prévoyant dans un article « sociétés affiliées » un échange d’informations entre les sociétés de la famille Facebook.
Ces échanges réciproques en réception et en transmission de données ont pour finalité selon la nouvelle politique de WhatsApp d’« aider à exploiter, fournir, améliorer, comprendre, personnaliser, prendre en charge et commercialiser nos Services [services de WhatsApp] et leurs offres [offres des entités de la famille Facebook].
Il s’agit notamment d’améliorer les infrastructures et les systèmes de diffusion, de comprendre comment nos Services [services de WhatsApp] et les [leurs offres des entités de la famille Facebook] sont utilisés, de sécuriser les systèmes et de lutter contre les courriers indésirables, les abus ou les violations.
Facebook et les autres sociétés de la famille Facebook peuvent également utiliser des informations que nous avons fournies pour améliorer vos expériences au sein de leurs services, comme faire des suggestions de produit (par exemple d’amis, de connexions ou de contenus intéressants) et afficher des offres et des publicités pertinentes.
Cependant, vos messages WhatsApp ne seront pas partagés sur Facebook à la vue des autres. En fait, Facebook n’utilisera pas vos messages WhatsApp dans un but autre que celui de nous aider à exploiter et fournir nos services ».
Cette mise à jour s’est accompagnée d’un process destiné à recueillir le consentement des utilisateurs.
C’est précisément ce process qui est en cause aujourd’hui puisque le groupe de l’article 29, dans sa lettre adressée à WhatsApp (1) s’interroge sur les modalités d’information des personnes, sur la validité du consentement des utilisateurs, sur l’efficacité des mécanismes de contrôle offerts aux utilisateurs d’exercer leurs droits ainsi que sur les effets que le partage de données aura sur les personnes qui ne sont pas utilisateurs de tout autre service au sein de la famille d’entreprises Facebook.
Des inquiétudes partagées au sein de l’Europe
Le 27 septembre 2016 (2), un ordre administratif du Commissaire de la protection des données d’Hambourg a été publié contre la synchronisation de masse des données entre Facebook et WhatsApp. Par cette procédure, il interdit à Facebook de collecter et d’enregistrer des données des utilisateurs allemands de WhatsApp. Par ailleurs, il ordonne à Facebook de supprimer toutes les données déjà transférées par WhatsApp.
Selon lui, outre le fait que les sociétés ont annoncé publiquement qu’il n’y aurait pas de partage d’informations entre elles ce qui est en soi critiquable, compte tenu de leurs politiques actuelles, le Commissaire précise d’une part que Facebook n’a jamais obtenu de consentement des utilisateurs WhatsApp et d’autre part que Facebook ne peut se prévaloir d’une base légale pour la réception de données des utilisateurs de WhatsApp.
La mise en demeure de la Cnil de Facebook
En janvier 2016 (3), la Cnil a mis en demeure Facebook après avoir relevé que la société procédait à des combinaisons massives de données recueillies dans des contextes différents sans avoir recueilli préalablement le consentement des utilisateurs sur le fondement de l’article 7 de la loi Informatique et libertés (4).
La Cnil a précisé que la combinaison était effectuée non seulement au regard des différentes utilisations du réseau social, mais également en combinant des données provenant de plusieurs sociétés du groupe. La Commission, après avoir effectué une analyse de la balance entre l’intérêt légitime poursuivi par les sociétés et l’intérêt, les droits et libertés des personnes concernées, conclut que les sociétés ne disposent pas d’un fondement légal pour la mise en œuvre du traitement dans la mesure où, notamment, elles n’apportent pas de garantie pour préserver les intérêts, droits et libertés des personnes concernées et n’organisent pas cette combinaison dans le cadre contractuel.
La demande du groupe de l’article 29 de ne pas procéder à la mise en commun des données des utilisateurs jusqu’à ce que les protections juridiques appropriées puissent être assurées
Le groupe de l’article 29 ne dispose pas de pouvoir à l’encontre des responsables de traitement. En effet, seules peuvent agir les autorités européennes de protection à leur niveau national selon leurs compétences.
Néanmoins, afin d’assurer une action coordonnée et efficace, le Groupe de l’article 29 a décidé de la création d’un sous-groupe de travail relatif aux activités répressives transfrontières. Ce sous-groupe a pour objet de faciliter le partage entre les autorités européennes sur les stratégies et actions répressives en Europe.
Un point sur l’état d’avancement est annoncé, notamment sur le sujet WhatsApp en novembre, lors de la première réunion du sous-groupe.
Les attentes des autorités de protection des données en matière d’échanges de données
Les autorités ne condamnent pas en tant que tels les échanges de données entre entités d’un même groupe. Néanmoins, elles attendent que les responsables de traitement mettent préalablement des process visant :
- à informer de manière transparente claire et précise les personnes concernées de la nature des échanges ;
- à donner une base légale au traitement mis en œuvre pour l’échange de données à savoir généralement qu’ils organisent le recueil du consentement ou poursuivent un intérêt légitime pour la mise en œuvre du traitement en apportant des garanties pour préserver les intérêts, droits et libertés des personnes concernées, dans la mesure où cet échange ne peut s’effectuer sur la base de l’exécution d’un contrat.
Au final, il sera intéressant de suivre les travaux du sous-groupe de travail relatif aux activités répressives transfrontières et les éventuelles décisions des autorités de protection nationales.
En effet, ils permettront sans nul doute de définir un peu plus les premiers critères dégagés en matière de partage de données et d’établir ceux qui permettront de réunir les conditions d’une balance d’intérêts équilibrée.
Céline Avignon
Lexing Publicité et Marketing électronique
(1) Cnil, Délib. 2016-007 du 26-1-2016, Facebook Inc et Facebook Ireland
(2) The Hamburg Commissioner for Data Protection and Freedom of Information, Communiqué du 27-9-2016
(3) Lire notre Post du 9-2-2016
(4) Loi 78-17 du 6-1-2016