Se connecter
Saisissez votre email pour recevoir un code de connexion.
Pas encore de compte ? Créer un compte
Création de votre compte
Déjà un compte ?
Vérification du code
Un code à 6 chiffres a été envoyé à .
Code non reçu ?
Confirmer la suppression
Un code à 6 chiffres vous a été envoyé par email. Saisissez-le pour supprimer définitivement votre compte.
WhatsApp et l'accès au répertoire : le traitement illicite dont vous êtes le responsable
7817
Ce qui se passe techniquement
Lorsque l'accès au répertoire est accordé, WhatsApp transmet aux serveurs de Meta l'ensemble des contacts enregistrés sur le téléphone : noms et numéros de téléphone, y compris ceux de personnes qui n'ont jamais installé l'application, n'ont jamais accepté ses conditions et ignorent que leurs données circulent.
Ces données de non-utilisateurs ne sont pas simplement jetées. Elles permettent à Meta de constituer ce que la littérature spécialisée appelle des shadow profiles : des profils fantômes de personnes sans compte, alimentés par les répertoires de leurs connaissances. Quand la personne finit par s'inscrire, son graphe social est déjà reconstitué avant même sa première connexion.
Le point juridique central : qui consent pour les tiers ?
Personne. C'est là toute la question.
Le consentement recueilli par WhatsApp est celui de l'utilisateur qui installe l'application. Or les données transmises appartiennent à des tiers — les contacts du répertoire — qui n'ont exprimé aucun consentement et n'ont reçu aucune information. L'article 6 du RGPD exige une base légale pour tout traitement : pour les non-utilisateurs, Meta ne dispose ni du consentement, ni d'un contrat, ni d'un intérêt légitime sérieusement défendable face à des personnes avec lesquelles elle n'entretient aucune relation.
L'article 14, qui impose d'informer les personnes dont les données ont été collectées indirectement, n'est pas davantage respecté : Meta ne notifie pas les non-utilisateurs figurant dans les répertoires synchronisés. Ce défaut de transparence figurait parmi les griefs retenus par l'autorité irlandaise (DPC) dans sa décision de septembre 2021, assortie d'une amende de 225 millions d'euros contre WhatsApp Ireland.
L'exemption domestique ne protège pas l'utilisateur
La défense intuitive de l'utilisateur tient en une phrase : « c'est mon répertoire personnel, le RGPD ne s'applique pas à moi ». Elle repose sur l'article 2.2.c du règlement, qui exclut les traitements effectués « par une personne physique dans le cadre d'une activité strictement personnelle ou domestique ».
L'argument ne résiste pas à l'analyse. La jurisprudence de la Cour de justice de l'Union européenne, dès l'arrêt Lindqvist (C-101/01), interprète cette exemption de manière restrictive : elle cesse de s'appliquer dès que les données sortent de la sphère privée. Or l'utilisateur qui synchronise son répertoire ne partage pas ses contacts avec un cercle d'amis — il les livre à une entreprise commerciale qui les exploite pour son propre compte.
La logique des arrêts Wirtschaftsakademie (C-210/16) et Fashion ID (C-40/17) complète le tableau : celui qui déclenche une collecte de données au profit d'un tiers peut être qualifié de responsable conjoint du traitement, même sans accès aux données traitées en aval.
Un tribunal allemand a tiré la conséquence explicite de ce raisonnement. En 2017, le tribunal aux affaires familiales de Bad Hersfeld a jugé qu'un utilisateur de WhatsApp qui synchronise son répertoire transmet des données de tiers sans base légale, et s'expose théoriquement à des demandes en cessation de la part de chacun de ses contacts.
Une asymétrie parfaitement construite
Meta conçoit une application dont le fonctionnement repose sur la transmission massive de données de tiers non consentants. Le geste de transmission est accompli par l'utilisateur, pas par Meta. Juridiquement, l'utilisateur devient responsable — ou coresponsable — d'un traitement illicite. Économiquement, Meta en est le seul bénéficiaire.
Et en pratique ? Aucune autorité de contrôle ne sanctionnera des centaines de millions d'utilisateurs individuels. Aucune ne le pourrait matériellement. Quant à Meta, les procédures existent, mais elles visent la transparence et les bases légales du traitement des utilisateurs — le sort des non-utilisateurs reste largement un angle mort de l'application effective du règlement.
Le résultat est une architecture où l'illicéité est distribuée sur des millions d'épaules individuelles, chacune trop petite pour être poursuivie, tandis que le bénéfice est concentré en un point unique, suffisamment armé pour absorber les contentieux. Ce n'est pas une faille du système : c'est son design.
Ce que dit cette affaire du RGPD lui-même
Le cas WhatsApp illustre une limite du règlement : ses obligations pèsent formellement sur quiconque traite des données, mais son application effective suppose un responsable identifiable, solvable et poursuivable. Entre l'utilisateur injoignable par millions et la plateforme qui plaide n'être que réceptrice d'une transmission volontaire, la responsabilité se dilue exactement là où le texte voulait la fixer.
Pour les personnes dont les données circulent sans leur accord, les recours théoriques existent — droit d'accès, droit d'effacement, plainte auprès de la CNIL. Encore faut-il savoir que ses données sont traitées. C'est précisément l'information que l'article 14 devait garantir, et que le système est conçu pour ne jamais délivrer.
Commentaires
pour commenter.
Aucun commentaire pour le moment.
Signaler cette publication
Merci de nous aider à modérer le contenu de 7817.fr.