Dans une lettre ouverte publiée le jeudi 27 octobre (disponible ICI), le Groupe de l’article 29 (G29), réunissant les autorités de protection des données personnelles des Etats membres de l’Union Européenne, a fait part de ses vives inquiétudes concernant le partage des données personnelles entre WhatsApp et les sociétés membres de la « famille d’entreprises Facebook ». Pour mémoire, Facebook avait procédé au rachat de WhatsApp en 2014 pour une somme de plus de 20 milliards de dollars, faisant naître alors d’importantes craintes quant aux possibles partages de données qui en résulteraient.
Cet été, les conditions générales de WhatsApp ont effectivement évolué pour permettre de tels partages. Cependant, comme le souligne fort justement le groupe de l’article 29, le respect du principe de finalité commande que l’utilisateur soit précisément informé de l’utilisation qui sera faite de ses données à caractère personnel. Or, par définition, l’utilisateur de WhatsApp ne pouvait pas anticiper cette utilisation future de ses données par la « famille d’entreprises Facebook », ce qui pourrait être de nature à remettre en cause la validité même du consentement de ce dernier. Le groupe de l’article 29 précise ainsi dans sa lettre ouverte : « The Article 29 Working Party (WP29) has serious concerns regarding the manner in which the information relating to the updated Terms of Service and Privacy Policy was provided to users and consequently about the validity of the users’ consent ».
Cette affaire rappelle à quel point le respect de ces exigences légales est fondamentale lors de tout traitement de données à caractère personnel, le non-respect de ces exigences pouvant avoir de lourdes conséquences économiques. Rappelons à cet égard que la chambre commerciale de la Cour de cassation a jugé le 25 juin 2013 qu’un traitement de données à caractère personnel non déclaré à la CNIL est incessible et n’a donc pas de valeur patrimoniale. Tel devrait également être le cas, de notre point de vue, plus largement, d’un traitement qui ne respecterait pas l’une quelconque des exigences législatives applicables, dont le principe de finalité fait pleinement parti. En effet, l’article 6 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose clairement : « Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : 1° Les données sont collectées et traitées de manière loyale et licite ; 2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (…) ». Plus que jamais, il est donc essentiel que toute entreprise ou personne publique traitant des données à caractère personnel se questionne sur la validité de ce traitement et notamment sur le respect des principes de transparence et de finalité.