7817.fr

LE BON SITE

WhatsApp et l'accès au répertoire : le traitement illicite dont vous êtes le responsable

7817
15/07/2026
Chaque installation de WhatsApp commence par la même demande : autoriser l'accès aux contacts. La quasi-totalité des utilisateurs accepte, parce que l'application est conçue pour être inutilisable sans. Ce geste anodin déclenche pourtant un traitement de données personnelles qui, au regard du RGPD, pose un problème structurel — et désigne un responsable inattendu : l'utilisateur lui-même.

Ce qui se passe techniquement

Lorsque l'accès au répertoire est accordé, WhatsApp transmet aux serveurs de Meta l'ensemble des contacts enregistrés sur le téléphone : noms et numéros de téléphone, y compris ceux de personnes qui n'ont jamais installé l'application, n'ont jamais accepté ses conditions et ignorent que leurs données circulent.

Ces données de non-utilisateurs ne sont pas simplement jetées. Elles permettent à Meta de constituer ce que la littérature spécialisée appelle des shadow profiles : des profils fantômes de personnes sans compte, alimentés par les répertoires de leurs connaissances. Quand la personne finit par s'inscrire, son graphe social est déjà reconstitué avant même sa première connexion.

Le point juridique central : qui consent pour les tiers ?

Personne. C'est là toute la question.

Le consentement recueilli par WhatsApp est celui de l'utilisateur qui installe l'application. Or les données transmises appartiennent à des tiers — les contacts du répertoire — qui n'ont exprimé aucun consentement et n'ont reçu aucune information. L'article 6 du RGPD exige une base légale pour tout traitement : pour les non-utilisateurs, Meta ne dispose ni du consentement, ni d'un contrat, ni d'un intérêt légitime sérieusement défendable face à des personnes avec lesquelles elle n'entretient aucune relation.

L'article 14, qui impose d'informer les personnes dont les données ont été collectées indirectement, n'est pas davantage respecté : Meta ne notifie pas les non-utilisateurs figurant dans les répertoires synchronisés. Ce défaut de transparence figurait parmi les griefs retenus par l'autorité irlandaise (DPC) dans sa décision de septembre 2021, assortie d'une amende de 225 millions d'euros contre WhatsApp Ireland.

L'exemption domestique ne protège pas l'utilisateur

La défense intuitive de l'utilisateur tient en une phrase : « c'est mon répertoire personnel, le RGPD ne s'applique pas à moi ». Elle repose sur l'article 2.2.c du règlement, qui exclut les traitements effectués « par une personne physique dans le cadre d'une activité strictement personnelle ou domestique ».

L'argument ne résiste pas à l'analyse. La jurisprudence de la Cour de justice de l'Union européenne, dès l'arrêt Lindqvist (C-101/01), interprète cette exemption de manière restrictive : elle cesse de s'appliquer dès que les données sortent de la sphère privée. Or l'utilisateur qui synchronise son répertoire ne partage pas ses contacts avec un cercle d'amis — il les livre à une entreprise commerciale qui les exploite pour son propre compte.

La logique des arrêts Wirtschaftsakademie (C-210/16) et Fashion ID (C-40/17) complète le tableau : celui qui déclenche une collecte de données au profit d'un tiers peut être qualifié de responsable conjoint du traitement, même sans accès aux données traitées en aval.

Un tribunal allemand a tiré la conséquence explicite de ce raisonnement. En 2017, le tribunal aux affaires familiales de Bad Hersfeld a jugé qu'un utilisateur de WhatsApp qui synchronise son répertoire transmet des données de tiers sans base légale, et s'expose théoriquement à des demandes en cessation de la part de chacun de ses contacts.

Une asymétrie parfaitement construite

Meta conçoit une application dont le fonctionnement repose sur la transmission massive de données de tiers non consentants. Le geste de transmission est accompli par l'utilisateur, pas par Meta. Juridiquement, l'utilisateur devient responsable — ou coresponsable — d'un traitement illicite. Économiquement, Meta en est le seul bénéficiaire.

Et en pratique ? Aucune autorité de contrôle ne sanctionnera des centaines de millions d'utilisateurs individuels. Aucune ne le pourrait matériellement. Quant à Meta, les procédures existent, mais elles visent la transparence et les bases légales du traitement des utilisateurs — le sort des non-utilisateurs reste largement un angle mort de l'application effective du règlement.

Le résultat est une architecture où l'illicéité est distribuée sur des millions d'épaules individuelles, chacune trop petite pour être poursuivie, tandis que le bénéfice est concentré en un point unique, suffisamment armé pour absorber les contentieux. Ce n'est pas une faille du système : c'est son design.

Ce que dit cette affaire du RGPD lui-même

Le cas WhatsApp illustre une limite du règlement : ses obligations pèsent formellement sur quiconque traite des données, mais son application effective suppose un responsable identifiable, solvable et poursuivable. Entre l'utilisateur injoignable par millions et la plateforme qui plaide n'être que réceptrice d'une transmission volontaire, la responsabilité se dilue exactement là où le texte voulait la fixer.

Pour les personnes dont les données circulent sans leur accord, les recours théoriques existent — droit d'accès, droit d'effacement, plainte auprès de la CNIL. Encore faut-il savoir que ses données sont traitées. C'est précisément l'information que l'article 14 devait garantir, et que le système est conçu pour ne jamais délivrer.

RGPD (texte intégral) : https://eur-lex.europa.eu/eli/reg/2016/679/oj CJUE, Lindqvist, C-101/01 : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:62001CJ0101 CJUE, Wirtschaftsakademie, C-210/16 : https://curia.europa.eu/juris/liste.jsf?num=C-210/16 CJUE, Fashion ID, C-40/17 : https://curia.europa.eu/juris/liste.jsf?num=C-40/17 Décision DPC du 2 septembre 2021 (WhatsApp, 225 M€) : https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-whatsapp-inquiry AG Bad Hersfeld, 20 mars 2017, F 111/17 EASO : https://dejure.org/2017,11087

Commentaires

pour commenter.

Aucun commentaire pour le moment.

À propos Mentions légales Confidentialité CGU