Pensant peut-être s’être uni à WhatsApp sous le régime de la communauté de biens, Facebook a modifié la politique de confidentialité de sa nouvelle acquisition afin d’améliorer la communication entre elles… des données d’utilisateurs. Le G29 et la Commission européenne leur rappellent leurs engagements.
18 juin 2012, locaux de WhatsApp. Les fondateurs de l’entreprise ironisent et décrivent la course à la publicité à laquelle les autres entreprises se livrent : « Nous avons vu Yahoo ! être éclipsé en taille et en nombre par Google… un vendeur de publicités plus efficace et plus rentable. Ils savaient ce que vous recherchiez, afin qu’ils puissent rassembler vos données efficacement et vendre de meilleures publicités. […] La publicité ne constitue pas seulement une rupture esthétique, mais aussi une insulte à votre intelligence et l’interruption du fil de votre pensée. » et de conclure qu’ils ne sont aucunement intéressés par nos données personnelles.
Deux ans et 19 milliards de dollars après, Mark Zuckerberg est enfin autorisé à racheter l’application de messagerie instantanée. Sans doute la promesse antérieure-a-t-cédé à des considérations économiques puisque l’un des moteurs de l’entreprise mère est précisément la publicité en fonction du profil des utilisateurs.
Une union prête à battre de l’aile sous le souffle des gendarmes de la protection des données personnelles
Depuis cette opération, le duo semblait avoir opté pour une nette séparation des informations personnelles de leurs utilisateurs. Mais une modification, en août 2016, de leur politique de confidentialité vient opérer un flou gaussien. Il est désormais mentionné que des informations telles que le numéro de téléphone et les métadonnées pourront être échangées au sein du groupe pour contribuer à l’amélioration du service et à la lutte contre les messages électroniques indésirables (spam).
Suivant un modèle d’opt out, trente jours sont laissés aux utilisateurs du service pour refuser que des données à caractère personnel ne soient réutilisées par Facebook à des ins publicitaires. Si une telle pratique est autorisée pour les contrats d’assurance, c’est dans un souci de protection permanente du contractant. Mais tel n’est pas le cas lorsque les conditions d’utilisation des données sont remodelées à des fins publicitaires.
En septembre 2016, le juge indien[1] s’empare de la question et interdit tout transfert. Méconnaissant ainsi le principe directeur mentionné à l’article 7 de la directive du 24 octobre 1995[2] qu’est le consentement préalable, les deux entreprises sont également épinglées par les autorités européennes. Le G29, les CNIL hambourgeoise, britannique, italienne et espagnole soulignent l’illicéité d’une telle interconnexion. Cette « mise en relation automatisée d’informations provenant de fichiers ou de traitements qui étaient au préalable distincts » nécessite une autorisation spécifique de la CNIL (article 25 de la loi Informatique et Libertés).
Quand bien même cette autorisation serait obtenue, cela ne dispense pas pour autant le responsable du traitement de s’assurer que le consentement éclairé a valablement été donné. Une lettre[3] adressée en octobre 2016 par le G29 à WhatsApp demande aux deux sociétés américaines une séparation de fait pour le traitement des données personnelles des Européens. La communication doit être interrompue.
Une séparation imposée dans l’intérêt de WhatsApp et de ses utilisateurs
Le point névralgique est atteint lorsque la Commission européenne ouvre une enquête en décembre 2016. Elle avait autorisé le rachat de WhatsApp en 2014. Lors de l’examen du dossier, l’entreprise de Mark Zuckerberg affirmait que la mise en commun des données personnelles recueillies par chacune des plateformes ne serait pas possible. Or, porté par ses ambitions, il semble que Facebook ait trouvé un moyen d’accomplir « l’impossible ».
Ses ambitions se portent sur le modèle chinois WeChat qui est une messagerie intégrant des sous applications. Ces dernières permettent classiquement d’envoyer des messages et partager des photos mais, plus innovant, de prendre un rendez-vous médical, commander un taxi ou acheter en ligne. L’utilisateur quitte donc rarement l’application.
La tendance à l’expansion caractérise bien plus la marque bleue que la verte. Celle-ci s’affirme davantage comme un moyen de communication sécurisé et ce, grâce à un chiffrement de bout en bout qui empêcherait WhatsApp ou toute autre personne d’intercepter et lire les messages échangés.
Un juste équilibre doit être trouvé entre trouvé entre les deux philosophies au risque, sinon, de perdre la confiance des utilisateurs de WhatsApp. Une information erronée sur l’existence d’une backdoor – à ‘instar de celle demandée par le FBI à Apple – a d’ailleurs provoqué une inquiétude et un mouvement vers d’autres applications comme Messenger pourtant moins sécurisée. Le chiffrement, le secret des correspondances et la protection de la vie privée sont parties intégrantes de la réputation de WhatsApp. Le droit se saisit également de la problématique du chiffrement puisque la loi pour une République numérique prévoit que la CNIL sera chargée d’en promouvoir le recours.
Toutefois, le chiffrement n’est assuré par WhatsApp que lorsqu’il s’agit des messages échangés, laissant la possibilité de transmettre les numéros de téléphone ainsi que les métadonnées, données techniques afférentes à l’utilisation de services de communication électronique. La finalité de ce traitement serait l’envoi de « messages marketing » non publicitaires. Tentant d’expliciter cette formule un peu absconse, la filiale et sa maison mère évoquent une situation classique : après avoir acheté un billet via leurs applications, l’évènement est annulé. Grâce à l’ajout du numéro de téléphone, une alerte sera envoyée par SMS. Il s’agit alors de mettre en relation les entreprises directement avec les utilisateurs. Mais qu’adviendra-t-il des données transmises après avoir désactivé les fins publicitaires ? Où la limite ente le marketing et la publicité se situe-t-elle ? La mise en œuvre de cette interconnexion présente des points d’ombres que les éléments portés aux dossiers d’enquête de la Commission européenne et du G29 permettront sans doute d’éclairer.
Un équilibre à retrouver avec le développement de la transparence au profit de l’empowerment
Prévoir la protection des données à caractère personnel dès la conception technique du service assure une diminution du risque contentieux et rassure en cas de rachat par une autre entité. L’idée sous-jacente est de redonner aux individus la maitrise de leurs données personnelles (empowerment). De ce fait, ils doivent être en mesure de comprendre de quelle manière leurs données seront utilisées et leurs droits exercés. Lorsque Facebook et sa filiale font le choix d’un opt out sous trente jours, ils s’éloignent de la conception européenne qui privilégie au contraire l’opt in et donc une démarche consciente de la part de l’utilisateur. Dans le même élan, ils réduisent la capacité d’user de son droit d’opposition et réduisent l’étanchéité de la base de données de WhatsApp puisque l’opposition ne valait que pour la publicité.
Régulation n’est cependant pas synonyme de régression : Facebook peut assouvir ses ambitions tout en respectant les droits et libertés fondamentales des quelques millions d’utilisateurs qui utilisent ses services. En poursuivant les efforts déjà constatés avec l’apparition du dinosaure bleu, il faudrait aller plus loin dans la synergie entre la direction juridique et la direction marketing ou web design. S’employer à multiplier infographies et outils pédagogiques afin que l’information soit disponible tant sous une forme conventionnelle que sous une forme innovante sans être lacunaire. Se manifesterait alors une réelle volonté de transparence répondant à la fois au principe de loyauté et de licéité du traitement des données personnelles mais aussi à l’obligation de loyauté des plateformes au sens de la loi du 7 octobre 2016. La contrepartie serait double : réduire le risque réputationnel et financier d’une sanction par la CNIL ou la Commission européenne et se doter d’un véritable atout marketing inspirant confiance et donc une utilisation plus sereine de Facebook et WhatsApp.
_______________
SOURCES
LAUSSON (J.), « Acquisition de WhatsApp : Facebook a peut-être menti à Bruxelles », 20 décembre 2016 <http://www.numerama.com/politique/218229-acquisition-de-whatsapp-facebook-a-peut-etre-menti-a-bruxelles.html>
CHAMPEAU (G.), « L’Inde fait plier Facebook sur l’accès des données WhatsApp », 30 septembre 2016 <http://www.numerama.com/politique/198523-linde-plier-facebook-lacces-aux-donnees-whatsapp.html>
LAUSSON (J.), « Consensus chez les experts en cryptographie : la backdoor de WhatsApp n’en est pas une » , 20 janvier 2017 <http://www.numerama.com/tech/226639-consensus-chez-les-experts-en-cryptographie-la-backdoor-de-whatsapp-nen-est-pas-une.html>
[1] CHAMPEAU, (G.), L’Inde fait plier Facebook sur l’accès aux données WhatsApp, Numerama
[2] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[3]https://www.cnil.fr/sites/default/files/atoms/files/20161027_letter_of_the_chair_of_the_art_29_wp_whatsapp.pdf