Fin de la politique de l'autruche pour Whatsapp. Rachetée en 2014 par Facebook, la société spécialisée dans la messagerie instantanée et la VoIP avait fait évoluer ses conditions d'utilisation en 2016. Une évolution qui avait fait tiquer à l'époque les Cnil européennes - regroupées sous la bannière G29 -  qui s'étaient montrées réservées sur la remontées de données personnelles de Whatsapp vers Facebook à des fins de « ciblage publicitaire, sécurité, ainsi qu'évaluation et amélioration de services ». 

« C’est dans ce contexte que la présidente de la Cnil a décidé, pour vérifier la conformité à la loi Informatique et Libertés des traitements opérés par Whatsapp, de diligenter des contrôles en ligne et sur questionnaire puis de convoquer la société pour une audition », a précisé la commission dans un communiqué. Après investigation, la Cnil a ainsi découvert que Whatsapp remontait à Facebook des données personnelles utilisateurs telles que numéros de téléphone et informations relatives aux usages de son application. Problème : le consentement de ces derniers n'a jamais été demandé. « D’autre part, la société Whatsapp ne peut se prévaloir de son intérêt légitime à transférer massivement des données à la société Facebook Inc. dans la mesure où cette transmission ne s’accompagne pas des garanties suffisantes permettant de préserver l’intérêt ou les droits et libertés fondamentaux des utilisateurs puisqu’il n’existe aucun mécanisme leur permettant de s’y opposer tout en continuant à utiliser l’application », indique par ailleurs la Cnil.

Un argument sécurité dévoyé

« Si la finalité de sécurité peut être regardée comme essentielle au bon fonctionnement de l’application, il en va différemment de la finalité de business intelligence qui via l’analyse du comportement des utilisateurs de l’application, vise à améliorer ses performances et à optimiser son exploitation », explique la Cnil. « La Présidente de la CNIL a estimé que la transmission de données de Whatsapp vers Facebook Inc. pour cette finalité de business intelligence ne reposait sur aucune des bases légales qu’exige, pour tout traitement, la loi informatique et libertés. »

Devant un manque flagrant de coopération, la commission a donc décidé d'agir en agitant le chiffon rouge d'une sanction. Désormais mis en demeure de « procéder légalement à la transmission des données de ses utilisateurs à Facebook notamment en obtenant leur consentement », la société dispose d'un délai d'un mois pour obéir à la Cnil. Faute de quoi, un médiateur sera nommé avec à la clé une très probable sanction qui pourrait bien, en ses temps de GDPR, s'avérer particulièrement salée.