WhatsApp et Facebook : quelles données personnelles sont concernées ?

WhatsApp se rapproche de sa maison mère Facebook et rompt avec la politique de protection des données de ses utilisateurs, laquelle était de ne pas les partager avec Facebook.  

L’outil de messagerie instantanée irait jusqu’à priver de l’application tout utilisateur qui refuserait de communiquer ses données personnelles à Facebook et ce, dès le 8 février 2021. 

Plus de deux milliards d’utilisateurs sont concernés par le changement des conditions d’utilisation.

L’application de messagerie rachetée pour 19 milliards de dollars en 2014 par le réseau social Facebook indique, dans la dernière publication de ses conditions générales d’utilisation, en date du 4 janvier 2021, que les utilisateurs octroient, en téléchargeant l’application, une « licence internationale, non exclusive et exempte de redevance » à WhatsApp. Cette licence l’autorise ainsi à utiliser, reproduire, distribuer, afficher et exploiter les informations téléchargées, soumises, stockées et même envoyées ou reçues sur leurs « services ou par leur intermédiaire, ainsi qu’à en créer des œuvres dérivées ». 

Les « services » en question sont principalement Facebook, Messenger (la messagerie instantanée de Facebook) et Instagram. Les données sont notamment celles de création de compte, à savoir :  

• les données de contact,  
• de connexion et d’usage (par exemple l’adresse IP),  
• d’identification (y compris la photo de profil),  
• de contenu (y compris lorsqu’ils sont de nature économique et financière),  
• de vie personnelle, 
• voire même professionnelles lorsqu’il s’agit d’entreprises communiquant avec leurs clients et salariés.  

WhatsApp devient en effet un outil de communication et une plateforme marchande pour les entreprises, leur proposant d’utiliser les services du groupe Facebook, notamment pour les gestions de commandes, les transactions y compris financières, les prises de rendez-vous, les notifications de livraison et d’expédition.  

Les conditions d’utilisation stipulent également que l’application serait désormais la plateforme permettant de mettre à jour les produits et services entre clients et entreprises et de procéder à des opérations de marketing (un terme qui sous-entend souvent l’envoi de publicités ciblées).

WhatsApp est une application plébiscitée en raison de ses flux chiffrés de bout en bout et conservés sur les terminaux des utilisateurs. Désormais, le rachat par Facebook aboutit à cette évolution majeure : les données transitent sur les autres services de la société.  

Concrètement, cela signifie que toutes les données que nous échangeons par milliards chaque jour, partout dans le monde, qu’il s’agisse de photographies, de messages intimes ou bien encore les appels sont à la portée de l’empire Facebook. La promesse de respect de la vie privée des utilisateurs, autrefois clamée par WhatsApp est aujourd’hui totalement dévoyée. 

Quel est le but de cette évolution notable des conditions d’utilisation ?  

Il pourrait s’agir pour Facebook de faire de WhatsApp un actif rentable. A l’instar de Facebook lui-même et d’Instagram, dont les profits sont issus de la masse publicitaire ciblée, WhatsApp en tant qu’interface à destination des entreprises est susceptible de rapporter des gains significatifs à son propriétaire.  

Les conditions d’utilisation précisent en effet que WhatsApp devient une « infrastructure globale, nécessaire et essentielle pour la fourniture de [ses] Services. Cette infrastructure peut être détenue ou exploitée par nos prestataires de services, y compris des sociétés affiliées ».  

Il faut bien comprendre cette notion de « prestataires » : il s’agit de sociétés sous-traitantes, aussi dites « affiliées ». Celles-ci sont susceptibles d’avoir accès aux données personnelles d’un utilisateur, en tout cas, toutes celles qu’il décide de partager sur l’application de messagerie instantanée. 

Une seconde hypothèse permet d’analyser le choix de Facebook différemment. Certains s’interrogent sur la survie même de WhatsApp. Les entreprises et les utilisateurs privés pourraient ne pas être séduits par l’objectif affiché dans les nouvelles conditions d’utilisation, qui est d’en faire une plateforme de communication commerciale.  

L’application pourrait subir la stratégie de certains mastodontes, dont les GAFAM[1] ne sont pas exclus, qui consiste à racheter une solution concurrente pour la rendre moins attractive auprès de ses utilisateurs, et in fine, la faire disparaître.  

WhatsApp, en devenant un outil similaire à Messenger risque ainsi de ne plus séduire ses utilisateurs qui ont la possibilité de rejoindre d’autres canaux de discussion instantanée comme la solution Signal, mondialement connue pour l’attachement au respect de la vie privée sur laquelle elle a bâti sa stratégie et son développement. 

En devenant un outil jumeau de Messenger, l’application pourrait devenir un véritable casse-tête en matière d’exercice des droits[2].  

Ce sujet est déjà épineux pour Messenger et Facebook : il est en effet quasi impossible d’obtenir une réponse sans équivoque, ou même une réponse tout court, lorsqu’une demande d’information, de rectification ou d’opposition est faite par un utilisateur… Une pratique plus que problématique vis-à-vis du RGPD[3] à laquelle s’ajoute le fait que le choix qui s’offre aux utilisateurs de WhatsApp est un non-choix : s’ils s’opposaient au partage de leurs données personnelles avec Facebook, ils seraient bannis de la plateforme… 

Cette nouvelle mise à jour, inquiétante à plusieurs égards, pourrait susciter des réactions du Comité européen de la protection des données (CEPD) ou en France, de la CNIL.  

Au moment où nous publions une mise à jour de cet article, le 11 janvier 2021, Niamh Sweeney, Director of Public Policy chez WhatsApp pour le marché EMEA (Europe Middle East Area) a réagi sur son compte Twitter. Elle explique notamment qu’il « a été rapporté à tort que la dernière mise à jour des conditions d’utilisation et de la politique de confidentialité de WhatsApp exige que les utilisateurs de la région européenne acceptent le partage de données avec Facebook à des fins publicitaires afin de continuer à utiliser le service. C’est faux. »[4]

Cette déclaration, qui se veut certes rassurante, soulève certaines questions. Nous avons fait le choix de produire une nouvelle analyse, sous la forme d’un article distinct, consultable ici.  

Merci à Saloua El Dairouty, consultante chez Orange Cyberdefense, pour son analyse.  

Pour en savoir plus sur la protection des données personnelles, cliquez ici.  

[1]Google, Amazon, Facebook, Apple, Microsoft 

[2]Les articles 13, 14 et 15 du Règlement général sur la protection des données 

[3]Règlement général sur la protection des données 

[4]Le compte Twitter de Niamh Sweeney : @NiamhSweeneyNYC