Si vous utilisez WhatsApp, vous avez sans doute reçu une invitation à accepter les nouvelles conditions d’utilisation du service et la politique de confidentialité mise à jour, qui entreront en vigueur le 8 février 2021. Dans ces textes, la messagerie contraint ses utilisateurs à partager leurs données avec sa maison mère, Facebook. En cas de refus, vous ne pourrez tout simplement plus utiliser le service. Ce qui est contraire au Règlement général sur la protection des données (RGPD).
Cesser d’utiliser WhatsApp ou se résigner à partager vos données avec Facebook, sa maison mère ? Si vous comptez parmi les 2 milliards d’adeptes de la messagerie, la question va se poser. Depuis quelques jours, WhatsApp invite en effet ses utilisateurs à accepter ses conditions d’utilisation et sa politique de confidentialité datées du 4 janvier 2021. Sans ce consentement, dès le 8 février, la messagerie deviendra inaccessible. WhatsApp résume les principaux changements en deux points : la manière dont le service traite les données, et la manière dont les entreprises peuvent utiliser les services hébergés par Facebook pour stocker et gérer leurs discussions WhatsApp.
La notification envoyée par WhatsApp contraint à accepter la nouvelle politique de confidentialité pour continuer à utiliser le service après le 8 février 2021.
En réalité, le partage des données des utilisateurs de WhatsApp avec Facebook n’est pas nouveau : la transmission des informations avec la maison mère a fait son apparition dans les conditions d’utilisation du service en 2016 (2 ans après le rachat de WhatsApp par Facebook en 2014). Numéro de téléphone, fréquence des messages, statut, groupes, modèle de votre smartphone, niveau de batterie, opérateur, adresse IP… La liste des informations collectées automatiquement est longue. Et elle s’allonge encore avec les fonctionnalités optionnelles (localisation, contacts, données de paiement), si vous les utilisez. Mais jusqu’à présent, la messagerie laissait encore le choix aux utilisateurs de partager ou non ces informations. Il était aussi possible de revenir sur cette décision, comme mentionné dans la politique de confidentialité de l’été dernier (20 juillet 2020) (1) : « Vous pouvez choisir de ne pas partager vos informations de compte WhatsApp avec Facebook pour améliorer vos expériences avec les produits et publicités Facebook. Les utilisateurs […] auront 30 jours supplémentaires pour faire ce choix en allant dans Paramètres > Mon Compte ». Dans les nouvelles clauses, cette mention a bien sûr disparu.
Une contrainte légale ?
En contraignant ses utilisateurs à partager leurs données avec Facebook (mais aussi avec Instagram, qui appartient également au réseau social), WhatsApp affirme rester dans les clous de la réglementation. L’entreprise consacre un chapitre entier de sa politique de confidentialité à la base légale sur laquelle repose l’exploitation des données qu’il collecte et partage. En Europe, les consommateurs sont protégés par le RGPD (Règlement général sur la protection des données). Et s’il n’interdit pas formellement l’échange de données entre filiales d’un même groupe, le texte pose des conditions. Les utilisateurs doivent notamment être informés avec clarté et donner leur accord sans subir de pression : dans le jargon, on parle de « libre consentement ». Et là, ça coince. Interrogée par Que Choisir, la Cnil (Commission nationale de l’informatique et des libertés) réserve son avis sur la validité des nouvelles conditions d’utilisation de WhatsApp, mais rappelle néanmoins la position du Comité européen de la protection des données (2) : « Si le consentement est présenté comme une partie non négociable des conditions générales, l’on considère qu’il n’a pas été donné librement. » Un utilisateur de WhatsApp devrait pouvoir refuser ou retirer son accord « sans subir de préjudice ». Or ici, le préjudice est direct puisque sans acceptation du nouveau contrat, les utilisateurs seront privés du service ! Nouveau bras de fer en perspective entre WhatsApp et les autorités…
WhatsApp, Facebook, les données… et la loi
WhatsApp et Facebook n’en sont pas à leur première incartade avec la législation sur les données personnelles. En novembre 2017, la Cnil avait constaté que la messagerie échangeait déjà des données avec sa maison mère en dehors, à l’époque, de tout cadre légal. Elle l’avait donc mise en demeure de se conformer. Cette procédure, toujours en cours, devrait trouver une issue en 2021. Par ailleurs, dès le rachat de WhatsApp en 2014, c’est la réglementation en matière de concentrations d’entreprises que Facebook avait pris à la légère (3). La Commission européenne avait en effet constaté que Facebook avait menti : il était déjà techniquement possible de mettre en correspondance les identités des utilisateurs de Facebook et de WhatsApp, les employés de Facebook étaient au courant, alors que le réseau social affirmait le contraire. Le 18 mai 2017, le réseau social avait écopé d’une amende de 110 millions d’euros.
(1) Politique de confidentialité de WhatsApp
En date du 20 juillet 2020 : https://www.whatsapp.com/legal/privacy-policy/?lang=fr.
En date du 4 janvier 2021 : https://www.whatsapp.com/legal/updates/privacy-policy-eea.
(2) Le Comité européen de la protection des données (CEPD) est un organe européen indépendant qui regroupe les autorités de protection des données.
(3) Règlement (CE) n° 139/2004 du Conseil du 20 janvier 2004 relatif au contrôle des concentrations entre entreprises.