webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

Data : L’amélioration de ses services en ligne nécessite une base légale spécifique !

Décision de la CNIL n°MED-2017-075 du 27 novembre 2017

La formation restreinte de la CNIL a prononcé une mise en demeure publique à l’encontre de la société WHATSAPP rappelant que lorsqu’il existe plusieurs finalités à un traitement qui nécessitent un consentement de la personne concernée, celui-ci doit être recueilli de manière spécifique...

Ce qu’il faut retenir : Par délibération du 27 novembre 2017, la formation restreinte de la CNIL a prononcé une mise en demeure publique à l’encontre de la société WHATSAPP rappelant que lorsqu’il existe plusieurs finalités à un traitement qui nécessitent un consentement de la personne concernée, celui-ci doit être recueilli de manière spécifique, permettant ainsi aux personnes concernées d’exprimer leur choix pour chacune des finalités.

Pour approfondir : L’article 7 de la loi n° 78-17 du 6 janvier 1978 (la « loi informatique et libertés ») dispose qu’« un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes :

1° Le respect d'une obligation légale incombant au responsable du traitement ;
2° La sauvegarde de la vie de la personne concernée ;
3° L'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ;
4° L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
5° La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée ».

Il résulte de la lecture croisée de l’article 2 de la directive 95/46/CE sur la protection des données et de l’avis n° 15/2011 du 13 juillet 2011 du G29, que le consentement s’entend comme toute manifestation de volonté, libre, spécifique et informée de la personne concernée, laquelle doit être en mesure d’exercer son choix.

Par une délibération du 27 novembre 2017, la CNIL a mis en demeure la société WHATSAPP de se mettre en conformité avec la loi informatique et libertés en raison d’un manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre.

En effet, après avoir diligenté une enquête, la Commission a constaté que la société WHATSAPP transmettait des données relatives aux utilisateurs de son application mobile Whatsapp Messenger à une autre entité de son groupe : la société FACEBOOK Inc. Ces données étaient transmises à des fins d’amélioration des services en ligne (« business intelligence ») et de sécurité.

La CNIL a considéré que la finalité de sécurité pouvait être considérée comme essentielle au fonctionnement de l’application Whatsapp Messenger. Toutefois, la finalité de « business intelligence » permettant l’amélioration des performances et de l’exploitation des services en ligne via l’analyse du comportement des utilisateurs n’était pas nécessaire au fonctionnement de l’application et partant, nécessitait un fondement légal pour pouvoir être poursuivie.

La CNIL a considéré qu’en l’espèce, la société WHATSAPP ne pouvait se prévaloir d’aucun fondement possible, à savoir ni du consentement de ses utilisateurs ni de son intérêt légitime.

En effet, s’agissant de l’intérêt légitime, l’autorité de contrôle a considéré que la transmission des données à FACEBOOK Inc était massive et ne s’accompagnait d’aucune garantie suffisante permettant de préserver l’intérêt ou les droits et libertés fondamentaux des utilisateurs dès lors que les utilisateurs ne pouvaient s’opposer à la transmission de leurs données tout en continuant à utiliser l’application.  

S’agissant du consentement des utilisateurs, celui n’était pas valable puisqu’il n’était ni spécifique ni libre.

En effet, la CNIL a relevé qu’en installant l’application, les utilisateurs devaient accepter d’un seul bloc le traitement de leurs données à des fins de fourniture du service ainsi que pour des finalités accessoires, telle que l’amélioration du service par FACEBOOK Inc. La spécificité du consentement n’était en conséquence pas caractérisée.

De plus, dès lors que le seul moyen de s’opposer à la transmission des données à FACEBOOK Inc pour les finalités accessoires est la désinstallation de l’application, le consentement ne pouvait être considéré comme libre.

Il résulte de cette décision que contrairement à ce que peuvent penser de nombreuses entreprises, une base légale et un consentement spécifiques à chaque grande catégorie de finalités sont des obligations d’ores et déjà applicables avant même l’entrée en application du nouveau Règlement Général sur la Protection des Données (RGPD).

En pratique, rares sont les responsables de traitement ayant prévu des mécanismes permettant aux personnes concernées d’exprimer leur choix pour chaque finalité et notamment pour les finalités accessoires telles que la business intelligence pourtant incontournable dans la fourniture de services en ligne.

Ces chantiers doivent nécessairement être considérés comme prioritaires dans les programmes de mise en conformité avec le RGPD actuellement en cours.

A rapprocher : Article 7 de la loi informatique et libertés ; Avis n° 15/2011 du 13 juillet 2011 du G29 ; Considérant n°32 et article 7 du RGPD

VOIR AUSSI

La CNIL publie la liste des traitements de données personnelles soumis à analyse d’impact

Délibération n°2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d'impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD)

- Vu : 682

La CNIL a fait la liste des traitements de données personnelles qui seront soumis à une analyse d’impact préalable en respect des dispositions du RGPD.

> Lire la suite

Du nouveau dans les dispositifs d'alerte professionnelle !

Délibération n°2017-191 du 22 juin 2017 portant modification de la délibération n°2005-305 du 8 décembre 2005

- Vu : 284

La CNIL a adopté, le 22 juin 2017, une délibération portant modification de sa délibération n°2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 3303
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 2795
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 2784
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Protéger ses marques efficacement - 15 mai 2018 - Nantes
16 avril 2018 - Vu : 1579
SIMON ASSOCIÉS organise un petit-déjeuner sur le thème de la protection des marques le 15 mai 2018 à ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©