Après une première tentative controversée de changement de sa politique de confidentialité en février dernier, l’application de messagerie instantanée mettra à jour ses conditions d’utilisation ce samedi 15 mai. Un changement de politique de gestion des données qui devra se confronter à la réglementation européenne.
Mise à jour des conditions d’utilisation de WhatsApp : à quoi s’attendre ?
Les nouvelles conditions générales d’utilisation (CGU) de WhatsApp auraient dû entrer en vigueur le 8 février, mais la mise à jour avait été reportée pour cause de panique générale chez les 2 milliards d’utilisateurs de l’application. Partage des données avec Facebook, espionnage des discussions, des appels ou des contenus partagés, et suppression du compte en cas de refus de se soumettre aux nouvelles CGU : nombreuses étaient les craintes qu’avait fait naître l’annonce de la mise à jour. Finalement effective à partir de ce samedi 15 mai la nouvelle politique de confidentialité soulève plusieurs questions sur le plan juridique.
En matière de traitement des données personnelles, le Règlement européen général sur la protection des données (RGPD) dicte le droit applicable en Europe. Les nouvelles CGU devront donc s’y conformer sous peine de se voir durement sanctionner par la Commission nationale de l'informatique et des libertés (Cnil). Bien que, comme l’explique Claire Poirson, avocate associée du cabinet Bersay, et Benoit Grunemwald, expert cybersécurité chez Eset France, "la messagerie explique notamment de quelle manière elle collecte les données de ses utilisateurs, quels types de données se trouvent collectées et pour quelles finalités" dans sa nouvelle politique de confidentialité, reste à voir si cela correspondra aux exigences du règlement européen. WhatsApp devra également dans les faits, et une fois les CGU mises en application, respecter les principes auxquels la société s’engage dans celles-ci.
Une question de consentement
Nouveauté phare de la mise à jour : la possibilité pour les utilisateurs d’interagir avec des entreprises grâce à WhatsApp, qui entraînera nécessairement la collecte de nouvelles données personnelles. Or, à ses articles 12 et 13, le RGPD prévoit une obligation de transparence et d’information à destination des personnes concernées par la collecte de données. Doivent notamment leur être communiqués le type de données personnelles récupérées ainsi que la finalité du traitement mis en place. Le but est ici de permettre à l’utilisateur de donner un consentement "libre, spécifique, éclairé et univoque" au traitement de ses données à caractère personnel. WhatsApp doit donc s’assurer qu’il aura bien transmis toutes les informations requises à ses utilisateurs lorsqu’il sollicitera leur acceptation des nouvelles CGU. À noter que la technique de renvoi à des pages, rubriques ou autres documents par le biais de liens cliquables afin d’accéder à ces informations a déjà été sanctionnée par la Cnil (en l’espèce, Google avait écopé d’une amende de 50 millions d’euros pour manquement aux obligations de transparence et d’information).
Mais que se passera-t-il pour les utilisateurs qui n’accepteraient pas les nouvelles CGU ? WhatsApp avait d’abord annoncé que les comptes en question seraient supprimés puis avait fait marche arrière en disant qu’ils seraient seulement désactivés : toujours pas acceptable pour les utilisateurs. Finalement, certaines fonctionnalités de l’application devraient être limitées au bout de quelques semaines pour les utilisateurs réfractaires (plus d’accès à la liste de discussion puis plus d’appels entrants ou de notifications et WhatsApp cessera d'envoyer des messages ainsi que des appels sur le téléphone concerné). Avec ces restrictions, la question du contentement se pose encore. À son article 7.4., le RGPD précise que pour déterminer si la personne concernée a consenti librement, il faut tenir compte du fait de savoir si "la fourniture d'un service est subordonnée au consentement au traitement de données à caractère personnel". Peu de chance que la Cnil ne se saisisse pas de la question.
Toujours plus de données
Autre point qui fait débat : le potentiel élargissement de la capacité de WhatsApp à partager les données des utilisateurs avec sa société mère Facebook (qui a racheté la messagerie en 2014 et avec qui elle partage des données depuis 2016). De son côté, WhatsApp clame son innocence et affirme que "la confidentialité et la sécurité [des] messages et appels personnels ne changent pas. Ils sont protégés par le chiffrement de bout en bout et ni WhatsApp ni Facebook ne peuvent les lire ou les écouter." Si la mise à jour des GGU et de la politique de confidentialité ne devrait avoir aucune incidence sur l’utilisation personnelle de la messagerie, ce sont les nouveaux échanges possibles avec des entreprises qui suscitent de l’inquiétude. L’enjeu pour Facebook serait d’avoir accès aux données de paiement et de transactions des utilisateurs de WhatsApp afin d’améliorer l’affichage des publicités ciblées sur ses réseaux sociaux (Zuckerberg possède également Instagram depuis 2012). Preuve de l’hostilité des institutions face l’actualisation de sa politique de confidentialité par la firme américaine, l’ordonnance émise le mardi 11 mai par l'Autorité de protection des données de Hambourg "interdisant à Facebook Ireland de traiter les données personnelles de WhatsApp dans la mesure où cela est fait à ses propres fins". WhatsApp dit ne pas comprendre et dénonce des allégations erronées. Mais le régulateur allemand semble vouloir faire remonter l’affaire au Comité européen de la protection des données. Affaire à suivre.
