Signal, WhatsApp et les autres

par | Jan 15, 2021 | Réseaux sociaux, RGPD

WhatsApp, Signal et les autres.

Rappel du contexte

WhatsApp, dont Facebook est propriétaire depuis 2016, a annoncé début janvier une modification de ses conditions d’utilisation et politique de confidentialité prévoyant un partage des données entre les sociétés du groupe Facebook (entités Facebook dont Instagram), revenant ainsi sur ses promesses de cloisonnement des données faites lors de son acquisition par Facebook. Le détail des données partagées n’est pas transparent mais il s’agit notamment d’un partage des données reprises ci-dessous (colonne 2 du tableau) :

La communication sur ce changement donne lieu à beaucoup d’interprétations dans les médias car elle est (volontairement ?) imprécise. Ce qui est certain c’est qu’elle concerne tous les utilisateurs non-résidents UE. Pour les résidents UE, le doute est entretenu dans la communication par WhatsApp, mais en pratique la démarche est initiée et imposée via le consentement aux nouvelles conditions d’utilisation (CGU).

Conséquences

A partir du 8 février 2021, WhatsApp partagera les données d’utilisateurs à Facebook, que ceux-ci aient un compte sur le réseau social ou non. Ce partage est également pratiqué dans le sens opposé ; Facebook se réserve ainsi le droit de partager certaines de ces données avec des entités tierces (entreprises) lorsque WhatsApp interagit avec elles.

  • Le fait de partager les données au sein des Entités Facebook sans finalité déterminée est à considérer comme disproportionné. Pourquoi les données de l’utilisateur d’un service de messagerie devraient-elles être partagées avec les réseaux sociaux auxquels il n’est pas connecté ? Cependant ce partage ne peut être refusé si l’on souhaite continuer à utiliser l’application après le 8/02/2021. Cette pratique porte atteinte au consentement libre prévu par le RGPD mais aussi au consentement éclairé puisque la communication de WhatsApp à ce sujet s’est faite de manière très peu transparente (la politique de confidentialité est très lourde et évasive).
  • Même si WhatsApp se défend de se servir des informations partagées au sein des entités Facebook (des résidents UE) pour développer des communications marketing ciblées directement vers les utilisateurs, la politique de confidentialité reprend bien dans les finalités de partage « nous pouvons être amenés à collaborer avec les autres Entités Facebook pour aider les personnes à trouver les entreprises qui les intéressent et à communiquer avec elles via WhatsApp ». Ce qui ouvre la porte ouverte au profilage et la communication marketing directe vers les utilisateurs de WhatsApp.

Ces éléments sont à évaluer par chacun dans le cadre d’un usage privé et en fonction de sa sensibilité individuelle à la protection de ses données et de sa vie privée. En cas de non-acceptation de ces nouvelles conditions, à titre privé, il est bien entendu exclu d’imposer l’outil à titre professionnel.

Le contenu des communications quant à lui est toujours protégé par chiffrement et n’est pas remis en question.

Utilisation professionnelle de WhatsApp

Légitimité

La mise en œuvre de WhatsApp en entreprise contraint le personnel à partager ses données à caractère personnel avec les entités Facebook (à partir du 8/02/21). Ces données peuvent dès lors faire l’objet de traitements non souhaités (profilage, marketing ciblé, exercice des droits potentiellement limités s’agissant d’un acteur US …) par le collaborateur.

Ces traitements de données n’étant pas nécessaires à l’exercice de la fonction, Une entreprise ne peut imposer l’utilisation de WhatsApp à ses collaborateurs. 

Sécurité de l’information et confidentialité

  • Par défaut, toute une série de données personnelles sont automatiquement synchronisées sur le téléphone, dont l’ensemble des données de contact. Et ce, même s’ils n’utilisent pas WhatsApp. Par ailleurs, le partage de photos, documents, fichiers…via WhatsApp implique une copie des documents dans le smartphone (galerie photo, fichiers). Il y a donc une perte évidente de la maîtrise de ses données par l’utilisateur et un risque de fuite de données confidentielles de l'entreprise, risque accentué si le téléphone est privé car il n’y a pas de contrôle possible du paramétrage ni des données elles-mêmes (effacement, disponibilité par exemple). A moins d’assurer un contrôle du paramétrage sur les téléphones professionnels (blocage de la synchronisation) et l’interdiction d’utiliser un compte WhatsApp privé pour des traitements de données professionnels, il est vivement déconseillé d’utiliser WhatsApp.
  • Le chiffrement de bout en bout du transfert des données a connu des failles de sécurité.

Territorialité

Les données envoyées via l’application sont stockées sur des serveurs localisés aux Etats-Unis. L’invalidation du Privacy Shield au 16/07/2020 rend le traitement de données à caractère personnel illégitime. Les autorités américaines peuvent ainsi exiger de la société qu’elle fournisse des informations personnelles sur les utilisateurs en vertu de la loi américaine applicable ;

Mettre en œuvre un traitement via une application sans mesure d’adéquation territoriale (US) implique la demande du consentement libre du collaborateur ou la mise en œuvre du chiffrement des données (clé à détenir par l'entreprise).

Au vu de l’ensemble de ces éléments, l’utilisation de WhatsApp n’est pas recommandée pour un usage professionnel.

Alternatives

Il existe un grand nombre d'alternatives à WhatsApp sur le marché qui ont toutes des avantages et des défauts. Parmi les avantages on notera bien évidement le chiffrement de bout en bout et l'absence (aujourd'hui) de collecte ou partages des métadonnées. Les médias citent souvent Signal. Si signal répond en effet à ces critères, gardons à l'esprit qu'il s'agit d'une organisation américaine. Quelles que soient ses bonnes intentions, elle reste soumise aux lois de surveillance des États-Unis. Elle a aussi l'avantage d'être plébiscitée pour l'instant et de représenter une alternative intéressante, pour un usage privé, en étant probablement la seule capable de fédérer suffisamment de monde en vue d'espérer remplacer WhatsApp.

Wire utilise le protocole Proteus, basé sur le même protocole que Signal. Basée en Suisse, c’est-à-dire dans un des pays bénéficiant d'une décision d'adéquation avec le RGPD, cette application est recommandée pour un usage professionnel.

Olvid et Threema sont des alternatives tout à fait acceptables, mais hélas, non suffisamment représentative aujourd'hui pour espérer reprendre la place de WhatsApp.

Quant à Telegram, cette application est à éviter pour 2 raisons : 1) quelques Données issues du téléphone sont envoyées vers le serveur, 2) l'éditeur (et ses serveurs) est situé dans un pays tiers (Émirats arabes unis), il n'y a donc aucune certitude en termes de respect du RGPD.

Mise à jour du 16.01.2021 :
WhatsApp a annoncé hier qu'elle reportait au 15 mai la date ultime de blocage des comptes qui n'auraient pas donné leur consentement à la nouvelle politique. Il semble bien que ce soit la fuite importante de nombreux utilisateurs vers les concurrents Signal et Telegram qui est à l'origine de ce changement.
Mise à part la date, il n'y a pas de changement fondamental. WhatsApp n'apporte pas de modification à sa politique de confidentialité. Il conviendra d'être également vigilant quant aux changements éventuels qui pourraient intervenir dans la présentation du consentement.

 

 

Dossier préparé par Eléonore Fourman et Fabien Tramasure