Depuis le 4 janvier dernier l’application WhatsApp a annoncé une mise à jour mondiale de sa politique de confidentialité. Toutefois cette mise à jour revêt des réalités bien différentes selon les territoires dans lesquels elle s’applique en fonction des réglementations en vigueur.
Cette mise à jour a été annoncée de façon globale comme visant à permettre à Facebook (la maison mère de WhatsApp) de pouvoir rentabiliser cette application rachetée à prix d’or en 2014 (22 milliards $ alors que 2 ans auparavant, le bon élève, Instagram n’avait coûté à Facebook qu’un petit milliard pour générer en 2019 un quart de ses revenus).
Quand Facebook parle de rentabiliser une application, on comprend commercialisation des données des utilisateurs. Le message initialement communiqué était que l’intégralité des données collectées et traitées par WhatsApp sur son application allait être intégrée de façon globale à l’ensemble de l’environnement Facebook.
C’est ce qui a poussé des millions de personnes à migrer vers d’autres solutions présentées comme plus sécurisées quant au traitement des données personnelles et en premier lieu Telegram ou Signal.
Devant cette polémique naissante, WhatsApp a voulu rassurer les utilisateurs au moins en Europe en indiquant que le RGPD les protégeait et que ce qui pouvait être fait par WhatsApp dans certains pays ne pouvait pas l’être au sein l’Union Européenne. Ironie de l’histoire de voir Facebook, société contre laquelle le RGPD a quasiment été voté sur mesure, se servir de cette législation à des fins de communication de crise.
Alors qu’en est-il ? Plongeons-nous dans cette nouvelle politique de données personnelles et dans la FAQ qui l’accompagne.
Quelles données sont collectées/traitées par WhatsApp d’une façon générale ?
Mettons de côté les messages et leurs contenus qui restent confidentiels ce que WhatsApp réaffirme clairement à plusieurs reprises.
Il y a d’abord les informations fournies par l’utilisateur : numéro de téléphone, nom, prénom, images, statuts, contacts, noms de groupe créés…
Il y a surtout les informations collectées à l’insu des utilisateurs : les interactions avec les autres utilisateurs (heure, fréquence et durée), le fait d’être en ligne ou non, les informations de connexion (modèle du téléphone, système d’exploitation, niveau de batterie, type de navigateur, réseau téléphonique, adresse IP), les identifiants Facebook ou Instagram utilisés avec le même appareil, la localisation.
Il y enfin les données collectées par des tiers (y compris d’autres applications Facebook) : les informations sur l’utilisateur fournies par ses propres contacts (qui figurent dans leurs carnets d’adresse), les informations issues des sites tiers via le partage de contenu par WhatsApp (type de contenu, …), les informations issues des autres applications de l’environnement Facebook.
Quelle est la finalité de cette nouvelle politique de gestion des données ?
WhatsApp le dit clairement dans son introduction à cette nouvelle version de sa politique de confidentialité, le but est de « Mieux communiquer avec les entreprises » tout en avouant « nous cherchons des moyens de développer une entreprise viable ».
Sur son blog, WhatsApp réaffirme clairement son objectif « WhatsApp est en passe de devenir un véritable comptoir de magasin, permettant de discuter autour des produits et d’organiser les ventes. » (Service clients, SAV, réunion de consommateurs, achats en ligne, gestion de programme de fidélité…)
Qu’est-ce qui est donc nouveau ?
On va le trouver dans la partie « Comment nous travaillons avec les autres Entités Facebook ? » dans la politique de données et dans la FAQ.
D’abord, WhatsApp se veut rassurant et précise que « aujourd’hui, Facebook n’utilise pas les informations de votre compte WhatsApp pour améliorer votre expérience avec les produits Facebook ni pour vous proposer des publicités Facebook plus ciblées sur sa plateforme. » (On notera le « aujourd’hui » qui pourrait laisser penser que la chose est par nature évolutive ce que WhatsApp, elle-même, reconnaît en précisant que sa mise en œuvre est suspendue à un accord avec la CNIL Irlandaise).
Toutefois WhatsApp apporte une réserve à cette non utilisation sur Facebook des données WhatsApp « Bien que Facebook n’utilisera pas automatiquement vos messages pour définir les publicités que vous voyez, les entreprises pourront utiliser les discussions ouvertes avec elles pour leurs propres fins marketing, pouvant inclure la diffusion de publicités sur Facebook. »
Donc les annonceurs pourront utiliser (sous leur responsabilité en tant que contrôleur des données en respectant la réglementation applicable en matière de données personnelles) les données collectées sur WhatsApp pour améliorer le ciblage de leurs propres publicités sur Facebook.
En termes d’utilisation marketing des données la nouvelle version de la politique de données évoque à plusieurs reprises le fait que « Facebook peut donner aux utilisateurs la possibilité de communiquer avec les entreprises qu’ils trouvent sur Facebook via WhatsApp ».
Cette nouvelle fonctionnalité pourra donner aux entreprises la possibilité de prendre le relais sur WhatsApp de la prise de contact amorcée avec les utilisateurs sur Facebook ou Instagram ou par d’autres canaux, WhatsApp devenant un service de gestion de la relation clients pour les annonceurs.
Quelles sont les données transmises aux autres entités Facebook ?
WhatsApp indique ne pas transmettre à Facebook toutes les données collectées en tout cas pas « à l’heure actuelle » comme le suggère l’application sur sa FAQ. Les données transmises sont : les données du compte (numéro de téléphone, nom, photo …), les données du matériel (adresse IP, type de mobile …), les données de transaction, les interactions avec les autres utilisateurs et de façon plus sibylline « des informations liées à des services » (sans que l’on sache à quels services ni à quelles données il est fait référence).
WhatsApp termine en indiquant que ce traitement peut « inclure d’autres informations identifiées dans la section de la Politique de confidentialité » là encore sans autres précisions.
Est-ce que cela ne concerne que les utilisateurs qui ont également un compte Facebook ?
La politique de données personnelles répond clairement non à cette question. Le partage des informations concernera « tous les utilisateurs de WhatsApp …cela peut inclure les utilisateurs de WhatsApp qui ne possèdent pas de compte Facebook. »
Est-ce que les utilisateurs pourront refuser cette nouvelle politique de gestion des données ?
Oui…. En désinstallant l’application et en supprimant leur compte. Le consentement à cette mise à jour de la politique de confidentialité est obligatoire pour pouvoir bénéficier des services de l’application WhatsApp ce qui change clairement avec la pratique antérieure de l’application. Cette modification peut se heurter à l’un des principes posés par le RGPD qui est que le consentement doit être « libre » et non contraint. Si le traitement des données est essentiel pour fournir le service demandé par le consommateur alors il est possible de rendre ce consentement obligatoire, mais toute la question se posera d’évaluer le caractère essentiel du traitement.
Enfin on se souviendra qu’en 2017 Facebook a déjà été mise en demeure par la CNIL pour avoir transmis des données de WhatsApp à Facebook sans base légale suffisante et que la même année Facebook a été condamnée à une amende 110 millions d’Euros par la Commission Européenne pour avoir dissimulé des informations lors de la validation du rachat de WhatsApp en affirmant notamment l’impossibilité de croiser les données WhatsApp et Facebook.
Une enquête est d’ailleurs en cours au niveau européen sur la question de la gestion des données personnelles par WhatsApp qui devrait aboutir en principe en 2021.
Pour toute information, contactez Fabien Honorat (honorat@pechenard.com)