[ 23 septembre 2021 ]

Passionnants Réseaux sociaux !

Pourquoi les réseaux sociaux mettent-ils en œuvre une politique de confidentialité ? 

Au même titre que les conditions générales d’utilisation qui encadrent l’utilisation d’un site web, la politique de confidentialité est obligatoire en France, dans tous les États de l’Union européenne et dans certains États hors Union. En France, ce sont notamment le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD) et la loi « Informatique et Libertés » n° 78-17 du 6 janvier 1978 qui s’appliquent. À grands traits, ces règles encadrent les traitements de données à caractère personnel. Une donnée personnelle est une information qui se rapporte à une personne physique identifiée ou identifiable, comme un nom, une photographie, voire des informations plus abstraites telles que des informations relatives à la culture ou aux opinions (RGPD, art. 4, 1). Le traitement, quant à lui, est une opération effectuée sur une donnée (RGPD, art. 4, 2). Stocker une donnée personnelle sur un serveur, y accéder, l’organiser dans un dossier, sont autant d’opérations pouvant constituer un traitement. Dès lors que les données à caractère personnel d’une personne font l’objet d’un traitement, il pèse sur le responsable de traitement une obligation d’information relativement complète. Quelles sont les données traitées, pour quels objectifs, qui sont les éventuels destinataires des données, ou encore quels sont les droits des personnes qui font partie des informations à délivrer (RGPD, art. 13 et 14). Aucune forme n’est réellement imposée : la politique de confidentialité est un format parmi d’autres qui permet la délivrance de ces informations.

Dans quel but WhatsApp a changé sa politique de confidentialité ?

WhatsApp a été racheté par le groupe Facebook en 2014 à environ dix-neuf milliards d’euros. Il est nécessaire de bien garder à l’esprit que les grandes plateformes fonctionnent toutes sur le même modèle économique, fondé sur l’exploitation des données qu’elles collectent. Si Google perçoit des revenus aussi conséquents, c’est grâce à son activité publicitaire, dépendante de l’analyse des données de ses utilisateurs. Or, il n’existe pas de publicité sur WhatsApp et les conversations sont chiffrées de bout en bout, ce qui ne permet pas de rendre l’application rentable.

Annoncé le 6 janvier 2021, le changement de politique de confidentialité a pour objectif de générer des revenus grâce au partage des données avec les entités Facebook, ainsi que de créer un service destiné aux professionnels et permettant d’effectuer des transactions (WhatsApp Business App et WhatsApp Business API). Cette annonce a suscité de vives oppositions, à tel point que WhatsApp s’est vu contraint de différer l’entrée en vigueur de sa nouvelle politique de confidentialité au 15 mai 2021. Les utilisateurs récalcitrants sont pour le moment préservés. Il est en effet nécessaire pour WhatsApp de recueillir leur consentement pour que la nouvelle politique de confidentialité soit applicable. Pour l’heure, un refus ne vaut pas suppression du compte ou interdiction d’accès au service, affirme WhatsApp, ce qui pourrait toutefois évoluer à l’avenir.

Quels sont les changements de la politique de confidentialité de WhatsApp ?

Outre la création d’un service dédié à l’échange avec des professionnels, le changement majeur et le plus polémique est le partage des données avec Facebook. Sur ce point, il s’avère que cette difficulté est loin d’être nouvelle. Lors du rachat de WhatsApp, la Commission européenne mettait déjà en garde Facebook du risque qu’engendre un partage de données entre les différents services, ce à quoi Facebook répondait qu’il lui était techniquement impossible de croiser ces données (Comm. europ., 3 oct. 2014, aff. M.7217). Or, en août 2016, la modification de la politique de confidentialité de WhatsApp faisait état d’un partage de données avec Facebook. En sus de la sanction prononcée par la Commission pour fourniture d’un renseignement inexact ou dénaturé vis-à-vis de la prétendue impossibilité de croiser les données lors de la fusion (Comm. europ., 17 mai 2017, aff. M.8228, fondée sur règl. (CE) n° 139/2004, 20 janv. 2004, art. 14, § 1, a), les autorités de protection des données européennes se sont saisies de l’affaire (v. not. en France : CNIL 27 avr. 2017, n° SAN-2017-006 ; CNIL 27 nov. 2017, n° MED-2017-075). Des injonctions ont notamment été prononcées afin de faire cesser le partage de données. Evidemment, il est difficile de savoir si l’opérateur s’est bien mis en conformité. Le partage de données entre plusieurs entités est opaque et nécessite de longues investigations.

Dorénavant, la nouvelle politique de confidentialité ôte toute ambiguïté : les données de WhatsApp sont effectivement partagées avec Facebook. La rubrique « Quelles informations WhatsApp partage avec les Entités Facebook » du Centre d’aide de WhatsApp explique que les informations partagées regroupent toutes les informations décrites dans la section « Informations que nous recueillons » de la Politique de confidentialité. Bien entendu, ces informations sont nombreuses et extrêmement détaillées. En premier lieu figurent les informations que l’utilisateur fournit sciemment, comme son numéro de téléphone, son pseudonyme, sa photo de profil, les contacts s’il en importe, ou les informations nécessaires à la finalisation d’une transaction si l’utilisateur procède à un achat sur la plateforme. Sur ce point, la politique de confidentialité précise que sont collectées « par exemple, les informations concernant votre méthode de paiement, les informations de livraison et les montants des transactions », l’expression « par exemple » supposant une liste non exhaustive. En deuxième lieu, de nombreuses informations sont collectées automatiquement, incluant notamment « l’heure, la fréquence et la durée de vos activités et interactions » ou « le modèle de matériel, les informations sur le système d’exploitation, le niveau de batterie, la force du signal, la version de l’application, les informations du navigateur, le réseau mobile, les données de connexion (y compris le numéro de téléphone, l’opérateur mobile ou le FAI), la langue et le fuseau horaire, l’adresse IP, les informations concernant les activités sur l’appareil et les identifiants ». En troisième lieu sont listées les informations de tiers, où d’autres personnes fournissent à la plateforme les données à caractère personnel de l’utilisateur, y incluant des professionnels entités de Facebook ou utilisateurs de WhatsApp Business. Ces quelques exemples font état d’un constat édifiant : quand bien même le contenu des conversations ne serait pas accessible par les entités Facebook, ces dernières peuvent déduire de ces informations des analyses extrêmement détaillées sur une personne.

Les conversations en elles-mêmes restent en effet « chiffrées de bout en bout ». Ainsi les messages sont chiffrés lors du transfert de l’émetteur au destinataire du message et sont stockés dans l’équipement terminal des utilisateurs. Ils ne sont temporairement stockés sur les serveurs de WhatsApp que lorsqu’ils ne parviennent pas à arriver à destination, pour insuffisance de réseau ou lorsque le terminal du destinataire est éteint, par exemple. Ainsi, il est impossible de lire la conversation lorsqu’elle est interceptée par un tiers malveillant. Cette confidentialité ne vaut qu’entre particuliers. Lorsqu’une personne s’adresse à un professionnel, effectivement, ce dernier est susceptible d’enregistrer les conversations.

Quelles sont les autorités régulatrices veillant à la protection des données des utilisateurs ?

Chaque État membre de l’Union européenne doit désigner une autorité de contrôle compétente pour veiller à la bonne application du RGPD (RGPD, art. 51). En France, il s’agit de la Commission nationale Informatique et Libertés, la « CNIL ». Autorité administrative indépendante, certaines de ses décisions peuvent faire l’objet d’un recours auprès du Conseil d’État. À l’échelle de l’Union, le Comité européen de la protection des données est chargé de veiller à une application cohérente du RGPD entre États membres. Il est composé d’un président, de deux vice-présidents, des autorités de contrôle nationales et du contrôleur européen de la protection des données. Bien entendu, les juridictions judiciaires des États membres et la Cour de justice de l’Union européenne sont également compétentes.

La nouvelle politique de confidentialité est-elle conforme au RGPD ?

Dès l’annonce du changement de la politique de confidentialité de WhatsApp, des procédures se sont engagées. Le 11 mai 2021, l’autorité de protection des données de Hambourg a enjoint à Facebook de cesser de traiter les données de WhatsApp, étant précisé que la mesure d’urgence n’a pris effet que trois mois (v. son communiqué de presse). Peut également être citée la plainte du 12 juillet 2021 auprès de la Commission exercée par un collectif d’associations de défense des consommateurs, dont l’UFC-Que Choisir fait partie (v. son communiqué de presse). Enfin, le 15 juillet 2021, le Comité européen de la protection des données (CEPD) a rejeté le recours de l’autorité de contrôle allemande d’une demande de décision contraignante fondée sur la procédure d’urgence (RGPD, art. 66, § 1). Le CEPD a estimé que la condition d’urgence n’était pas remplie, puisque WhatsApp partageait déjà ses données avec Facebook bien avant le dernier changement de la politique de confidentialité, et qu’il n’était pas établi que Facebook utilise les données de WhatsApp Business (v. son communiqué de presse). Ce faisant, le CEPD a renvoyé à l’autorité de contrôle irlandaise, seule compétente, le soin de diligenter une enquête, au grand regret de l’autorité allemande. Il sera donc nécessaire de patienter, une mise en demeure de se mettre en conformité pouvant précéder une sanction.

Il est intéressant de préciser que l’autorité de protection irlandaise avait déjà ouvert une enquête le 10 décembre 2018 pour manquement aux obligations d’information et de transparence de la politique de confidentialité de WhatsApp. Le projet de décision de l’autorité a été soumis aux autres autorités de contrôle sur le fondement du mécanisme de coopération entre l’autorité de contrôle « chef de file » (qui est compétente territorialement) et les autres autorités de contrôle concernées (RGPD, art. 60). Les autorités des États membres n’étant pas parvenues à un consensus, le CEPD s’est prononcé suivant la procédure de règlement des litiges (RGPD, art. 65). Ainsi, le 28 juillet 2021, le CEPD a adopté une décision contraignante qu’elle a notifiée à l’autorité de contrôle irlandaise, lui enjoignant notamment d’augmenter le montant de l’amende proposée (v. son communiqué de presse). Le 2 septembre 2021, cette dernière s’est alors tenue à la décision du CEPD et a infligé à l’encontre de WhatsApp une amende de 225 millions d’euros assortie d’une injonction de mise en conformité (v. son communiqué de presse).

Finalement, existe-t-il une solution soucieuse de nos données personnelles ?

« Si c’est gratuit, c’est vous le produit », rappelle l’adage. Le web s’est professionnalisé et toute application doit être rentable, que ce soit par le biais de la publicité ou par l’exploitation des données personnelles (v. à ce titre : E. Netter, Service en ligne « gratuit » contre publicité ciblée : le modèle d’affaires aux pieds d’argile, in Mélanges Storck, Dalloz, 2021). Fournir un service en échange de données n’est pas en soi prohibé, pourvu notamment que l’exigence de transparence soit respectée (RGPD, art. 12). Or, les géants du numérique, qui sont naturellement les plus surveillés, ne sont pas nécessairement ceux qui respectent le moins cette exigence. Le professeur Emmanuel Netter illustre très justement ce phénomène à travers l’exemple de la Timeline de Google maps. « Elle permet à l'utilisateur du service de retracer l'historique de ses déplacements minute par minute. Paradoxalement, l'outil est souvent cité par les étudiants comme un exemple de surveillance orwelienne, alors qu'il rend tangibles, palpables les données détenues par le responsable de traitement, quand d'autres qui disposent d'informations tout aussi détaillées se font les plus discrets possibles », précise-t-il (À quoi sert le principe de transparence en droit des données personnelles ?, Dalloz IP/IT 2020. 611). Effectivement, ce n’est pas parce qu’une politique de confidentialité ne mentionne pas l’exploitation de données que la plateforme ne les traite pas. 

WhatsApp admet explicitement un partage de ses données avec Facebook, en affirmant que les conversations restent chiffrées de bout en bout – hors signalement ou communication avec un professionnel –, ce qui signifie, rappelons-le, que les conversations ne sont lisibles que sur le terminal de l’émetteur et du destinataire du message. A contrario, elles sont illisibles lorsqu’elles sont interceptées par un tiers. À partir du moment où le changement de politique de confidentialité de WhatsApp a été annoncé, de nombreux utilisateurs se sont rués vers des messageries alternatives. Deux solutions ont été mises en avant : Telegram et Signal. Concernant Telegram, et contrairement aux croyances communes, les conversations ne sont pas chiffrées de bout en bout automatiquement. Il est en effet nécessaire d’activer manuellement cette option dénommée « échanges secrets » (v. les instructions sur la FAQ de Telegram). Signal, pour sa part, a été cofondé par Brian Acton qui est lui-même cofondateur de WhatsApp. Brian Acton a décidé de quitter WhatsApp lors de son rachat par Facebook, en raison de désaccords moraux sur la monétisation de l’application (publicité ciblée ou partage de données). Comme WhatsApp, les conversations de Signal sont chiffrées de bout en bout. Mais contrairement à WhatsApp, l’esprit général de l’application garantit un certain respect de la confidentialité, notamment par le fait qu’elle est gérée par un organisme sans but lucratif et que son code est publié en open-source, ce qui signifie que toute personne peut vérifier la fiabilité du logiciel (v. le code sur github).

Quoi que Signal chiffre les conversations de bout en bout sans partager les données personnelles des utilisateurs, certaines failles existent toujours. Signal fonctionne par exemple à partir du numéro de téléphone et propose d’importer ses contacts, impliquant donc un accès par les serveurs de Signal à l’annuaire d’une personne. Olvid, une solution alternative française, a trouvé une solution permettant de contourner cette difficulté. L’application fonctionne sans numéro de téléphone ni adresse e-mail : un simple échange de codes entre deux utilisateurs leur permet d’entrer en contact. Les conversations étant également chiffrées de bout en bout, aucune information personnelle ne parvient donc aux serveurs de l’application (v. les technologies utilisées sur le site web de l’application). En revanche, le code d’Olvid n’est pas publié en open-source, ce qui ne permet pas de vérifier sa fiabilité.

En définitive, aucune solution n’est parfaitement sécurisée, ce pour deux raisons. La première raison est d’ordre technique : toute solution informatique est bien entendu faillible. La seconde raison est d’ordre juridique. Un texte peut tout à fait habiliter une autorité à consulter une information confidentielle pourvu que l’objectif poursuivi soit proportionné. Le refus de fournir le code de déverrouillage d’un téléphone portable sur réquisition d’un policier, permettant d’accéder aux conversations, est par exemple constitutif d’un délit (C. pén., art. 434-15-2 ; Crim. 13 oct. 2020, n° 20-80.150 ; v. S. Vergnolle, Clair-obscur autour de la qualification des codes de déverrouillage des téléphones et des personnes pouvant les requérir, D. 2021. 609). De la même manière, il existe des régimes d’exception permettant aux autorités d’intercepter les métadonnées (v. les récentes évolutions : CJUE 6 oct. 2020, aff. jtes C-511/18, C-512/18 et C-520/18, La Quadrature du net ; 2 mars 2021, aff. C-746/18, Prokuratuur). Le meilleur moyen reste ainsi la rencontre physique, qui nous a fait tant défaut durant cette période de crise sanitaire !