Les fichiers de données personnelles constituent une manne financière importante pour un grand nombre de services de communications électroniques. Si les sources de ce « pétrole numérique » peuvent être assez dispersées, leur mutualisation permet d’en accroître la valeur. La concentration des fichiers est ainsi le complément indispensable de la concentration des entreprises qui les exploitent. Le phénomène paraît d’autant plus logique lorsque les services en cause relèvent de marchés identiques ou similaires, et peuvent être utilisés par les mêmes usagers. Le croisement des données permettrait alors un profilage plus précis de ces derniers, quand bien même les services ne seraient pas utilisés de façon complémentaire.
Pour autant, cette articulation renforce le caractère intrusif des services et nécessite le respect d’un certain nombre d’obligations, du moins en droit européen. C’est ce que vient de rappeler la Commission de Hambourg pour la protection des données et la liberté de l’information, s’agissant du partage d’informations entre WhatsApp et Facebook.
Du partage de données entre WhatsApp et Facebook
Les réseaux sociaux et les applications de messagerie ont naturellement des utilités convergentes, ce qui invite à les rapprocher tant sur le plan des pratiques que du point de vue économique. Pour les raisons précitées, le partage de données peut se révéler particulièrement lucratif pour de tels services, surtout lorsqu’ils relèvent de la même entreprise. C’est bien l’avantage qu’ont recherché WhatsApp et Facebook, leurs relations venant d’alerter les autorités européennes de protection des données personnelles. On se souvient que le rachat de l’application de messagerie par le célèbre réseau social a été effectué en 2014 pour une somme record, s’élevant à près de 22 milliards de dollars1, eu égard au développement exponentiel qu’a connu l’application les années précédentes. L’autonomie des deux services avait néanmoins été maintenue dans un premier temps, y compris sur le plan des données des utilisateurs. Cela semblait d’autant plus judicieux au vu de la prise de position de WhatsApp pour le chiffrement généralisé des messages.
Mais la barrière a fini par tomber, pendant l’été 2016, à l’occasion des changements apportés dans les conditions générales d’utilisation du service de messagerie. Il y est en effet indiqué que le numéro de téléphone des utilisateurs de la messagerie serait partagé avec le réseau social, ainsi que d’autres informations personnelles, pour améliorer leurs prestations. Cela aurait permis de développer de meilleurs outils de communication avec les entreprises. Le réseau social n’a pas non plus caché la possibilité d’un usage publicitaire des données sur son propre service, tout comme l’envoi de suggestions d’amis sur la base des contacts de la messagerie. Si le partage ne fonctionnait a priori que dans un sens, il n’était pas exclu que la messagerie puisse recourir à des services d’annonceurs, sur la base des mêmes données. De plus, le partage aurait quand même concerné les utilisateurs WhatsApp ne disposant pas de compte Facebook. Enfin, était laissée aux utilisateurs la possibilité de s’opposer à un tel partage dans un délai de trente jours après le changement des conditions générales. De la concentration des entreprises à celle des fichiers de données, il n’y avait qu’un pas… qui n’a pu être franchi.
L’opposition de la Commission de Hambourg de protection des données personnelles
L’opération de partage des données va finalement être interdite par la Commission de Hambourg, dans une décision du 27 septembre 20162. Dénonçant une « synchronisation de masse », l’autorité a enjoint aux deux entreprises de cesser toute communication de données, et d’effacer celles qui auraient déjà pu être collectées. Elle qualifie de trompeur le comportement des deux entreprises, alors même qu’elles avaient affirmé ne pas vouloir partager les données lors du rachat survenu en 2014. Surtout, le fait de procéder à un tel traitement ne respecterait pas les lois nationales en vigueur. La Commission prend soin de s’appuyer sur l’arrêt de la Cour de justice de l’Union européenne rendu le 28 juillet 2016, selon lequel un « traitement de données à caractère personnel effectué par une entreprise de commerce électronique est régi par le droit de l’État membre vers lequel cette entreprise dirige ses activités s’il s’avère que cette entreprise procède au traitement des données en question dans le cadre des activités d’un établissement situé dans cet État membre »3. Tel est le bien le cas de Facebook, lorsqu’il traite des données d’utilisateurs allemands, à travers sa filiale établie à Hambourg.
C’est pourquoi la Commission rappelle fort justement qu’un tel partage ne serait possible qu’après avoir recueilli le consentement de chaque utilisateur de l’application de messagerie. Autrement dit, le partage par défaut ne serait pas possible et ne comporterait aucune base légale, quand bien même une faculté d’opt-out serait laissée à la disposition des personnes. Cela est d’autant plus compréhensible que les finalités annoncées dans les nouvelles conditions générales d’utilisation paraissaient quelque peu lacunaires, et par conséquent insuffisantes. De plus, si le partage portait initialement sur les données des personnes utilisant les deux services, il pouvait inclure indirectement les données de celles qui n’utilisent pas le réseau social, du seul fait qu’elles figurent dans le carnet d’adresses de la messagerie. La décision ne concerne que les utilisateurs allemands de l’application et du réseau social, et Facebook a annoncé avoir fait appel. Mais ses implications ont trouvé une résonance dans toute l’Union européenne, et même au-delà de ses frontières.
Les répercussions européennes (et mondiales) de la décision
La révélation du partage d’informations, dans le contexte précité, a bien sûr entraîné des réactions dans d’autres États. Tel a été le cas notamment au Royaume-Uni, où la Commission de protection des données personnelles s’est prononcée à l’identique de la commission allemande4. Outre l’arrêt immédiat du partage, elle a enjoint à Facebook et à WhatsApp de mieux préciser les finalités pour lesquelles celui-ci était mis en œuvre, de respecter de façon explicite le droit au consentement des utilisateurs, et surtout de leur laisser une faculté d’opposition sans limitation de durée. Les personnes doivent pouvoir contrôler de façon permanente l’utilisation de leurs données, et pas seulement pendant les trente jours initialement impartis pour manifester leur opposition.
L’affaire est suivie avec attention dans d’autres États, comme la France et la Belgique, alors même que Facebook s’y voit reprocher de capter et d’utiliser les données de navigation de personnes non inscrites sur le réseau social à des fins publicitaires5. Elle permet également de faire le lien avec le développement des profils « fantômes », qui sont constitués à partir de la synchronisation des données externes au réseau social, et permettent d’effectuer des suggestions d’amis sans le consentement de ces derniers. Aussi, il paraît logique que le G29 se soit également saisi de ce problème. Un communiqué a ainsi été adressé à Facebook et WhatsApp le 28 octobre 2016, les sommant d’arrêter la synchronisation des données jusqu’à ce que les garanties juridiques appropriées soient mises en œuvre, conformément au droit européen6. À la veille de l’entrée en vigueur du nouveau règlement, on comprend que les États de l’Union européenne souhaitent harmoniser leur position sur ces pratiques.
Au-delà de l’Europe, on signalera que la Haute Cour de Delhi, en Inde, a elle aussi exigé de Facebook qu’il cesse le partage des données de Whatsapp7. Malgré la diversité des législations, la décision du géant américain a bien du mal à passer, ajoutant ainsi à la défiance des utilisateurs.
Sources :
- Déc. Comm. UE, 3 octobre 2014, n° M.7217, Facebook/WhatsApp ; voir également C. Verney, « L’alliance Facebook/WhatsApp approuvée par la Commission européenne », RLC, n° 42, janvier 2015, p. 24-25.
- « Administrative order against the mass synchronisation of data between Facebook and WhatsApp », Press Release, 27 september 2016.
- CJUE, 28 juillet 2016, Verein für Konsumenteninformation c./Amazon EU Sarl, n° C-191/15 (pt 81) ; voir également E. Derieux, « Loi(s) applicable(s) aux activités de communication commerciale sans frontières », RLDI, n° 131, novembre 2016, p. 8-10.
- E.Denham, « Information Commissioner updates on WhatsApp/Facebook investigation », Information Commissionner’s Office Blog, 7 november 2016, iconewsblog.wordpress.com/
- CNIL, Décision n° 2016-007 du 26 janvier 2016 mettant en demeure les sociétés Facebook Inc. et Facebook Ireland ; Commission de protection de la vie privée, Recommandation n° 04/2015 du 13 mai 2015, et Cour d’appel de Bruxelles, 29 juin 2016.
- « Communiqué du groupe de travail de l’Article 29 – Lettre à WhatsApp sur la mise à jour des conditions d’utilisation et de la politique de confidentialité », 28 octobre 2016, cnil.fr/fr/communique-du-groupe-de-travail-de-larticle-29.
- High Court of Delhi, 23 september 2016, Karmanya Singh Sareen and Anr. v. Union of India and Ors., W.P.(C) 7663/2016 & C.M.No.31553/2016.
