Facebook Messenger et WhatsApp : quelle confidentialité des données ?

 Le 15 janvier 2021, soit près de dix jours après l’annonce de la mise à jour de ses conditions d’utilisation ayant provoqué un tollé sur les réseaux sociaux du monde entier, WhatsApp publie sur son blog : « Nous avons décidé de reculer la date à laquelle il sera demandé aux utilisateurs de consulter et d’accepter les conditions. Personne ne verra son compte suspendu ou supprimé le 8 février ».  

 Nouvelle date choisie pour la mise à jour des conditions d’utilisation : le 15 mai 2021.  

 Un report qui offre plus de temps aux utilisateurs pour comprendre comment leurs données personnelles sont utilisées par les deux géants, WhatsApp et Facebook. Nous avons humblement tenté l’exercice de compréhension et présentons ici le fruit de nos lectures.  

 WhatsApp 

 WhatsApp utilise le chiffrement de bout-en-bout pour sécuriser les échanges de ses utilisateurs. Au sein d’une FAQ dédiée, WhatsApp précise : « il n’y a donc pas d’intermédiaires, pas même WhatsApp ».  

Ce chiffrement est automatique : nul besoin d’activer un quelconque paramètre. 

 A noter que le protocole de chiffrement utilisé est celui de Signal, qui est en open source.  

 Facebook Messenger 

 Facebook Messenger chiffre les messages échangés de la même manière que WhatsApp, à la différence que l’activation du chiffrement n’est pas automatique. Pour cela, il faut activer le mode « conversation secrète ». Les instructions pour ce faire sont consultables ici. 

 Facebook Messenger 

 La même politique d’utilisation des données s’applique aux différents produits Facebook, sauf WhatsApp, qui n’est pas cité.  

 Facebook déclare : « Nous recueillons le contenu, les communications ainsi que d’autres informations que vous fournissez lorsque vous utilisez nos Produits ». 

 A la question Facebook a-t-il accès aux conversations de ses utilisateurs Messenger ? La réponse est donc oui, sauf si celles-ci ont été chiffrées.  

 WhatsApp 

 En Europe, la Politique de confidentialité de WhatsApp en vigueur date du 24 avril 2018.  

 Concernant la confidentialité des échanges, WhatsApp déclare : « Le chiffrement de bout en bout signifie que vos messages sont chiffrés de sorte à les protéger pour qu’ils ne soient pas lus par nous ou par des tiers ». 

 WhatsApp précise également que les messages sont stockés sur les appareils des utilisateurs. Ils sont supprimés des serveurs après avoir été distribués sauf en cas d’impossibilité d’envoi (30 jours de conservation) ou lorsqu’un contenu est considéré comme « populaire » (une vidéo très partagée par exemple).  

 WhatsApp a-t-il accès aux conversations de ses utilisateurs ? La réponse est non (sauf cas exceptionnels indiqués précédemment). 

La transmission des données entre Facebook et les annonceurs. Source : https://fr-fr.facebook.com/about/ads 

 WhatsApp 

 Au sein de sa Politique de confidentialité (24 avril 2018), WhatsApp déclare ne pas autoriser les bannières de publicités de tiers indépendants sur WhatsApp.  

 L’entreprise précise également autoriser la communication entre des entreprises et ses utilisateurs « notamment pour des commandes, transactions et informations de rendez-vous, notifications de livraison et d’expédition, des mises à jour de produits et services et du marketing ».  

 En résumé, WhatsApp n’affiche pas de bannières publicitaires mais autorise les entreprises avec lesquelles un utilisateur est déjà en contact à lui proposer des contenus marketing via l’application.  

 C’est la question qui a soulevé le plus d’inquiétudes parmi les utilisateurs et c’est aussi celle à laquelle il nous semble le plus difficile de répondre avec précision. A toutes fins utiles, voici ce que nous pouvons assurer, à la lecture des contenus produits par WhatsApp et Facebook. 

 Au sein d’une page FAQ dédiée aux échanges entre les deux entités, WhatsApp écrit qu’aujourd’hui, Facebook n’utilise pas les informations des comptes WhatsApp « pour proposer des publicités Facebook plus ciblées sur sa plateforme ».  

 Une formulation qui n’exclut cependant pas que des publicités puissent être proposées en dehors de sa plateforme. Plus loin, WhatsApp précise chercher des « moyens de développer une entreprise viable » notamment pour permettre « aux personnes et aux entreprises de communiquer entre elles via WhatsApp ». Une volonté qui l’amène à « collaborer avec les autres Entités Facebook pour aider les personnes à trouver les entreprises qui les intéressent et à communiquer avec elles via WhatsApp ».  

 Là encore, il semble impossible d’exclure totalement l’hypothèse selon laquelle les deux entités échangent des données afin de proposer du ciblage publicitaire.  

 Qu’il s’agisse de Facebook Messenger ou de WhatsApp, les deux entités expliquent que les informations des utilisateurs sont « transférées ou transmises, ou stockées et traitées, aux États-Unis » mais aussi dans « d’autres pays », sans citer lesquels.   

 Les deux entreprises précisent également s’appuyer sur les « décisions d’adéquation de la Commission européenne ». Comme elle l’explique sur son site, « la Commission européenne a le pouvoir de déterminer, sur la base de l’article 45 du règlement (UE) 2016/679, si un pays extérieur à l’UE offre un niveau de protection des données adéquat. L’adoption d’une décision d’adéquation implique une proposition de la Commission européenne, un avis du Conseil européen de la protection des données, une approbation des représentants des pays de l’UE et l’adoption de la décision par la Commission européenne ».  

 En d’autres termes, Facebook déclare respecter les instructions de l’UE en matière de transfert et de stockage des données.  

 S’il ne nous appartient pas d’émettre un jugement sur le traitement fait des données de ses utilisateurs par Facebook et WhatsApp, nous tenons à souligner que la compréhension des conditions d’utilisations et des différentes politiques de confidentialité reste à ce jour assez complexe. L’utilisation d’un vocabulaire parfois jargonneux et abstrait rend l’exercice quelque peu difficile.  

Pourtant, comme le précise la Cnil[1] sur son site, « le RGPD[2] impose une information complète et précise. La transparence permet aux personnes concernées : de connaître la raison de la collecte des différentes données les concernant, de comprendre le traitement qui sera fait de leurs données, d’assurer la maîtrise de leurs données, en facilitant l’exercice de leurs droits. Pour les responsables de traitement, elle contribue à un traitement loyal des données et permet d’instaurer une relation de confiance avec les personnes concernées ».  

Aujourd’hui, c’est malheureusement cette « relation de confiance » que Facebook peine à rétablir. La firme a du moins jusqu’au 15 mai 2021 pour regagner le cœur de ses utilisateurs.  

 Pour savoir quelles données seront échangées entre Facebook et WhatsApp une fois la mise à jour effective, lisez notre analyse en cliquant ici.  

 Notes :  

1. Commission Nationale de l’Informatique et des Libertés 
2. Règlement Général sur la Protection des Données