Avant-hier, la CNIL a annoncé mettre en demeure WhatsApp de corriger son système de transfert de données personnelles à Facebook. L’entreprise a un mois pour ce faire, sous peine d’être sanctionnée (le montant maximal de l’amende est de 3 millions d’euros). La CNIL considère ce transfert illicite car se fondant sur le consentement forcé des utilisateurs, ceux-ci ne pouvant s’y opposer qu’en renonçant à utiliser le service. La Quadrature du Net se réjouit de l’analyse faite par la CNIL, car c’est exactement celle qu’elle défend depuis des années. Les conséquences en seront particulièrement importantes.
La décision publiée avant-hier par la CNIL fait directement suite à un autre événement décisif, survenu la semaine dernière : le G29 (groupe de travail réunissant les CNIL européennes) a publié un projet de lignes directrices détaillant la façon dont la notion de « consentement » sera interprétée par les CNIL européennes dans leur application du règlement général sur la protection des données (RGPD) à partir du 26 mai prochain.
Ces lignes directrices reprennent dans une large mesure les mêmes positions que celles défendues par La Quadrature du Net depuis des années, en rendant explicites certaines interprétations du RGPD que de nombreuses entreprises et gouvernements refusaient jusqu’ici d’accepter. Ces interprétations sont d’autant plus utiles qu’elles contrent directement certaines positions dangereuses dans le débat législatif en cours sur le règlement ePrivacy.
La mise en demeure de WhatsApp n’est ni plus ni moins que la stricte application de ces lignes directrices.
La liberté et la spécificité du consentement
Depuis la semaine dernière, le G29 explique parfaitement que « le RGPD prévoit que si la personne concernée n’a pas un véritable choix, se sent contrainte de consentir ou subira des conséquences négatives si elle ne consent pas, alors son consentement n’est pas valide »1Notre traduction de « the GDPR prescribes that if the data subject has no real choice, feels compelled to consent or will endure negative consequences if they do not consent, then consent will not be valid » (p. 6)., ce qui est une clarification importante à la fois du RGPD2L’article 7§4 du RGPD prévoit que, « au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ». Or, cette exigence ne donne pas directement de critère concret pour évaluer la liberté d’un consentement. Le considérant 43 du RGPD précise heureusement ce point : « le consentement est présumé ne pas avoir été donné librement […] si l’exécution d’un contrat, y compris la prestation d’un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution ». Les opposants à la liberté du consentement continuaient toutefois de prétendre qu’il fallait limiter le sens de cette précision, soit en la limitant à l’exécution des contrats (alors que de nombreux traitements peuvent se faire hors contrat) soit en soulignant la structure logique imparfaite de ce considérant (en effet, le considérant parle d’un « consentement » non nécessaire à l’exécution d’un contrat alors que, à être rigoureux, il aurait fallu parler du « traitement » non nécessaire à son exécution). Les imprécisions ou imperfections du RGPD ont ici été entièrement corrigées par le G29.et des positions passées du G293Dans son avis 15/2011 (WP187) du 13 juillet 2011, le G29 était mois précis qu’aujourd’hui, exigeant que le refus de consentir n’implique aucune « conséquence négative significative » (p. 12), alors qu’il exige aujourd’hui que le refus n’implique aucune « conséquence négative » tout court. Cette reformulation est décisive puisque le caractère « significatif » d’un préjudice était parfaitement vague et imprévisible, au point de risquer de priver cette exigence de toute portée..
Le G29 souligne une des conséquences fondamentales de cette notion : « le RGPD garantit que le traitement de données personnelles pour lequel le consentement est demandé ne peut pas devenir, directement ou indirectement, la contrepartie d’un contrat »4Notre traduction de « the GDPR ensures that the processing of personal data for which consent is sought cannot become directly or indirectly the counter-performance of a contract » (p. 9).. Le Parlement européen avait d’ailleurs déjà commencé à prendre le même chemin le mois dernier, en décidant que « les données personnelles ne peuvent être comparées à un prix et, ainsi, ne peuvent être considérées comme des marchandises ».
Soulignons qu’il y a bien un type de traitement que l’utilisateur peut être obligé d’accepter pour utiliser le service : les traitements qui sont techniquement indispensables pour fournir le service (tels que des traitements de sécurité ou, s’agissant de services payants, de facturation). Cette « exception » ne fait pas débat, étant assez logique.
Enfin, le G29 rappelle que le consentement doit aussi être « spécifique », ce qui implique que les utilisateurs « devraient être libres de choisir quelle finalité [de traitement] ils acceptent, plutôt que d’avoir à consentir à un ensemble de finalités de traitement »5Notre traduction de : « the data subjects should be free to choose which purpose they accept, rather than having to consent to a bundle of processing purposes » (p. 11).. Il s’agit d’une conséquence directe du caractère libre du consentement : on ne doit pas être contraint de consentir à une chose (être fiché, par exemple) au motif qu’on souhaite consentir à une autre (la transmission de ses communications à ses amis, par exemple).
Un consentement qui n’est ni libre ni spécifique n’est pas valide et ne peut autoriser aucun traitement de données personnelles.
Le cas WhatsApp
Le cas de WhatsApp est probablement le premier cas d’application aussi clair de ces exigences.
Comme expliqué dans ses conditions générales d’utilisation (CGU), WhatsApp transfère à Facebook (qui l’a racheté en 2014) diverses données personnelles. Les CGU ne détaillent pas la nature de ces données, mais WhatsApp a expliqué à la CNIL qu’il s’agirait de « l’identifiant du compte WhatsApp de l’utilisateur, des informations relatives à l’appareil utilisé et des informations relatives à l’utilisation de l’application » (p. 3 de la décision de la CNIL). Les CGU expliquent vaguement l’objectif du transfert de ces données : « aider [Whatsapp] à exploiter, fournir, améliorer, comprendre, personnaliser, prendre en charge et commercialiser [ses] Services et [ceux de Facebook] ». Enfin, WhatsApp explique à la CNIL que ce transfert serait licite car les utilisateurs y ont consenti en acceptant ces CGU.
D’une part, comme la CNIL l’explique très bien, alors que l’objectif du transfert n’est en rien indispensable à la fourniture du service WhatsApp, « le refus de la personne concernée de donner son consentement à la transmission de ses données s’accompagne nécessairement d’une conséquence négative importante puisqu’elle sera contrainte de supprimer son compte et ne pourra utiliser l’application WhatsApp » (p. 7). La CNIL en conclut logiquement que ce consentement n’est pas libre.
D’autre part, la CNIL souligne que l’utilisateur « consent de façon générale à la politique de confidentialité de la société », sans pouvoir choisir de consentir à certains traitements (ceux liés à la sécurité typiquement) tout en en refusant d’autres (ceux visant à améliorer le service). Les utilisateurs ne pouvant donc consentir de façon spécifique, leur consentement est encore invalide.
La CNIL donne un mois à WhatsApp pour permettre à ses utilisateurs de refuser librement et spécifiquement le transfert de leurs données à Facebook. À défaut, ce transfert devrait tout simplement prendre fin, puisqu’il ne pourrait être autorisé par aucun consentement valide.
Des conséquences considérables
Appliquées à d’autres services que WhatsApp, ces exigences auront des conséquences colossales.
Prenons directement le cas de la société mère de WhatsApp, Facebook, et de son réseau social. Actuellement, les utilisateurs de ce réseau n’ont qu’une seule façon d’échapper au fichage et au ciblage publicitaire qui y a lieu : en supprimant leur compte. En acceptant les CGU de Facebook, au moment de leur inscription, les utilisateurs n’y ont donc pas consenti librement (c’était tout ou rien). Or, puisque Facebook ne peut justifier ce fichage et ce ciblage qu’avec le consentement de ses utilisateurs, et que ce consentement n’est pas valide, ces activités sont illicites. Si Facebook ne veut pas être interdit dans l’Union européenne, il devra permettre à ses utilisateurs de continuer à utiliser son réseau social tout en échappant à cette surveillance.
On peut légitimement se demander comment Facebook pourra continuer à financer l’infrastructure sur laquelle repose ses services et comment, concrètement, il pourra survivre. La conclusion est simple : si Facebook ne trouve aucune source de financement ne reposant pas sur l’exploitation forcée des données personnelles de ses utilisateurs, il devra fermer son réseau social en Europe. Les mêmes conséquences peuvent être dessinées pour Google, Twitter, Amazon… et WhatsApp, comme on l’a vu.
Cette conclusion, aussi impressionnante peut-elle paraître pour certains, est en vérité l’objectif précisément recherché par le G29 et la CNIL dans leurs récentes positions. C’est aussi celui poursuivi par La Quadrature : empêcher la subsistance de modèles économiques fondés sur l’exploitation forcée d’une liberté fondamentale.
Cet objectif ne vise pas à interdire tout traitement de données personnelles (il en existe une myriade d’utiles pour la société, c’est évident), mais à empêcher qu’une industrie ne survive sur leur exploitation économique massive. Les seuls traitements légitimes de données personnelles sont ceux reconnus comme tels collectivement (par la loi) et ceux acceptés de façon désintéressée par les personnes concernées. Cette logique s’oppose en théorie au maintien d’une industrie tirant sa richesse de traitements massifs de données personnelles.
« La Quadrature du Net se réjouit de la décision publiée avant-hier par la CNIL : elle laisse espérer un bouleversement dans l’équilibre d’Internet, qui ne cessait jusqu’ici de se concentrer autour d’acteurs hégémoniques tirant leurs forces de l’exploitation injustifiable des libertés de tous les internautes. Nous espérons que la CNIL sera cohérente avec cette décision et en appliquera la logique contre l’ensemble des services des géants de l’Internet, pour commencer – à défaut de quoi chacune d’entre nous devra l’y pousser, par des plaintes auprès d’elle ou en saisissant les tribunaux », conclut Arthur Messaud, militant à La Quadrature du Net.
References
↑1 | Notre traduction de « the GDPR prescribes that if the data subject has no real choice, feels compelled to consent or will endure negative consequences if they do not consent, then consent will not be valid » (p. 6). |
---|---|
↑2 | L’article 7§4 du RGPD prévoit que, « au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ». Or, cette exigence ne donne pas directement de critère concret pour évaluer la liberté d’un consentement. Le considérant 43 du RGPD précise heureusement ce point : « le consentement est présumé ne pas avoir été donné librement […] si l’exécution d’un contrat, y compris la prestation d’un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution ». Les opposants à la liberté du consentement continuaient toutefois de prétendre qu’il fallait limiter le sens de cette précision, soit en la limitant à l’exécution des contrats (alors que de nombreux traitements peuvent se faire hors contrat) soit en soulignant la structure logique imparfaite de ce considérant (en effet, le considérant parle d’un « consentement » non nécessaire à l’exécution d’un contrat alors que, à être rigoureux, il aurait fallu parler du « traitement » non nécessaire à son exécution). Les imprécisions ou imperfections du RGPD ont ici été entièrement corrigées par le G29. |
↑3 | Dans son avis 15/2011 (WP187) du 13 juillet 2011, le G29 était mois précis qu’aujourd’hui, exigeant que le refus de consentir n’implique aucune « conséquence négative significative » (p. 12), alors qu’il exige aujourd’hui que le refus n’implique aucune « conséquence négative » tout court. Cette reformulation est décisive puisque le caractère « significatif » d’un préjudice était parfaitement vague et imprévisible, au point de risquer de priver cette exigence de toute portée. |
↑4 | Notre traduction de « the GDPR ensures that the processing of personal data for which consent is sought cannot become directly or indirectly the counter-performance of a contract » (p. 9). |
↑5 | Notre traduction de : « the data subjects should be free to choose which purpose they accept, rather than having to consent to a bundle of processing purposes » (p. 11). |