Facebook et la Cnil vivent une relation tumultueuse... La commission nationale informatique et liberté et le géant américain ne cessent de se chercher depuis plusieurs années. Et l'histoire se répète tristement. Lundi, l'organise en charge de la protection des libertés a mis, pour la deuxième fois en deux ans, Facebook en demeure. En cause, le partage que réalise le réseau social des données de WhatsApp, son application de messagerie, sans le consentement des utilisateurs.
WhatsApp ne veut rien savoir
Au cours de ses investigations, la Cnil a constaté que WhatsApp transmettait à Facebook des données concernant ses utilisateurs et notamment leurs numéros de téléphone et les informations relatives aux habitudes d'utilisation, sans recueillir leur consentement préalable, et sans qu'ils puissent s'y opposer autrement qu'en supprimant leur compte WhatsApp. Une pratique contraire à la législation française qui impose de laisser le choix à l'utilisateur. L'organisme présidé par Isabelle Falque-Pierrotin a donné un mois à l'application pour se conformer à la loi française. Dans le cas contraire, une procédure de sanction, menant à une possible amende, sera lancée.
De son coté, WhatsApp estime ne pas avoir à se soumettre aux investigations de la Cnil. Le service de messagerie a notamment refusé de communiquer un échantillon des données des utilisateurs français transmises à Facebook. Etant installée aux États-Unis, l'application se considère uniquement soumise à la législation du pays, nettement plus souple dans le domaine que la loi française et les dispositions européennes.
Facebook déjà mis en demeure
Mais pour Facebook, ce type de mise en demeure est loin d'être une première. La Cnil a déjà fait de même en février 2016. A l'époque, la commission reprochait au réseau social de suivre les internautes sur les sites qu'ils consultaient dès lors qu'ils s'étaient rendus une fois sur Facebook, même sans se connecter. "Le site dépose sur l’ordinateur des internautes des cookies à finalité publicitaire, sans les en avoir au préalable correctement informés ni avoir recueilli leur consentement", relevait aussi la Cnil dans sa mise en demeure. Enfin, le réseau social transférait les données personnelles de ses membres aux Etats-Unis sur la base du Safe harbor, ce qui n'était plus possible depuis plus de six mois.
A l'époque, la Cnil avait accordé un délai de trois mois à Facebook pour se conformer à la loi française. Mais le réseau social - faisant preuve d'une bonne dose de mauvaise foi - avait demandé son prolongement de trois mois. Faute d'accord et au terme de deux ans de procédure, la Cnil avait finalement condamné Facebook à 150.000 euros d'amende, en mai 2017.
Une première action en 2016
Dans le dossier du transfert de données entre WhatsApp et sa maison-mère, Facebook avait déjà été mis en cause il y a un an. En octobre 2016, le groupement des Cnil des différents Etats membres de l'UE, dit G29, avait adressé deux courriers à la filiale de Facebook. Le G29 exigeait déjà de WhatsApp "d'arrêter le partage des données de ses utilisateurs jusqu'à ce que les garanties juridiques appropriées puissent être apportées", mis en place à l'été 2016. A l'époque, la demande n'avait pas été suivie d'effet.