WhatsApp et le GDPR

Une entreprise de nettoyage finlandaise utilisait les services de messagerie instantanée WhatsApp pour communiquer à ses employés des informations sur ses clients, notamment leur nom, leur adresse, leur numéro de téléphone et, dans certains cas, même le code de la porte ou de la boîte à clés du domicile de ses clients.

La société avait utilisé WhatsApp pour transmettre les données de ses clients sans les en informer. En outre, la société n’avait aucun moyen de contrôler l’utilisation des données personnelles via WhatsApp, ou d’imposer des restrictions à cette utilisation. En outre, l’autorité finlandaise de protection des données a estimé que la société aurait dû prendre en compte tous les risques potentiels, comme la possibilité que les employés perdent leur téléphone et que les données personnelles des clients deviennent alors accessibles à des tiers.

Enfin, après avoir examiné les conditions d’utilisation de WhatsApp, l’autorité finlandaise de la protection des données a noté que l’utilisation de l’application n’était normalement pas compatible avec des objectifs professionnels, car elle créerait une relation contractuelle entre l’employé et Facebook (désormais, « Meta », le propriétaire de WhatsApp).

Conclusion : WhatsApp et le GDPR

Sur la base des considérations ci-dessus, l’APD finlandaise a estimé que l’utilisation de WhatsApp pour transmettre les données des clients était contraire au principe d’intégrité et de confidentialité (article 5, paragraphe 1, point f) du GDPR), au principe de protection de la vie privée dès la conception et par défaut (article 25 du GDPR) et à l’obligation de la société de mettre en œuvre des mesures organisationnelles et techniques appropriées pour assurer la sécurité des données à caractère personnel (article 32 du GDPR).

En bref, Whatsapp fonctionnant sur les téléphones appartenant à votre personnel n’est pas un moyen approprié pour transférer les informations personnelles de vos clients. WhatsApp appartient à la société Facebook (Meta) et est en réalité un outil de médias sociaux. Il existe des applications de messagerie axées sur la protection de la vie privée, comme Signal.org, qui sont également gratuites et ne suivent ni ne collectent aucune de vos données. Vous pouvez faire en sorte que les messages expirent par défaut, afin que les données ne soient pas conservées indéfiniment.

Voici le lien vers la source originale sur le site de la DPA finlandaise
https://finlex.fi/fi/viranomaiset/tsv/2021/20211163