Alors que le Règlement général sur la protection des données sera bientôt appliqué en Europe, Facebook n'entend pas faire une croix sur les données personnelles des utilisateurs de WhatsApp. Mais le réseau social cherche une solution sans sortir des clous de la nouvelle règlementation.

WhatsApp va provisoirement renoncer au partage d’informations personnelles avec Facebook, sa maison-mère, le temps pour les deux entreprises de trouver un moyen de continuer tout en étant dans les clous du Règlement général sur la protection des données (RGPD), dont l’application au sein de l’Union européenne débutera à partir du 25 mai 2018.

L’information, rapportée par Techcrunch, a été confirmée par l’équivalent britannique de la Commission nationale de l’informatique et des libertés. WhatsApp s’est engagé auprès de l’autorité de régulation à ne pas partager de données personnelles avec Facebook tant qu’il n’est pas conforme au RGPD. Il n’est pas clair si cette pause vise seulement les Britanniques ou bien tous les Européens.

Dans le cadre du RGPD, il y a en particulier la nécessité de recueillir un vrai consentement dès que survient une collecte ou un traitement de données personnelles. En cas d’infraction, la sanction administrative maximale qui peut être infligée est une amende de 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent pour l’organisme fautif.

L’affaire remonte au mois d’août 2016, quand WhatsApp, au détour d’une mise à jour de ses conditions d’utilisation, annonçait le partage des données personnelles des utilisateurs de WhatsApp avec Facebook, deux ans après le rachat à prix d’or (19 milliards de dollars !) de la messagerie instantanée par le réseau social. Facebook avait pris soin de permettre aux utilisateurs de s’opposer à ce transfert, mais pour un temps seulement.

Les messages entre les internautes échangés sur WhatsApp étant chiffrés de bout en bout, il s’agit de croiser les numéros de téléphone qui servent d’identifiants et d’exploiter l’historique des métadonnées qui montrent qui communique avec qui, quand, à quelle fréquence et où.

Cette annonce avait suscite l’ire de la Commission européenne. En mai 2017, elle a infligé une amende de 110 millions d’euros à Facebook pour lui avoir fourni des renseignements inexacts lors du rachat de WhatsApp et trahi sa promesse au sujet du partage de données personnelles entre les deux services. En effet, au moment de l’achat de WhatsApp, le site communautaire avait assuré qu’il « ne serait pas en mesure d’associer automatiquement et de manière fiable les comptes d’utilisateur des deux sociétés ».

Une promesse qui lui avait notamment permis d’obtenir le feu vert de Bruxelles.

De son côté, le G29, qui rassemble les autorités de protection européennes, avait publié fin octobre 2016 une lettre ouverte adressée à WhatsApp pour lui demander de ne pas procéder au partage des données personnelles de ses utilisateurs avec Facebook, jugeant que le consentement des internautes concernés n’était probablement pas valide. Un an plus tard, un nouveau courrier réclamait une concertation avec le G29.

Italie, Allemagne, France…

Au niveau national, le réseau social aux 2 milliards d’inscrits a aussi écopé d’une série de sanctions. En mai 2017, WhatsApp écopait d’une amende de 3 millions d’euros de l’autorité de la concurrence italienne pour avoir incité les utilisateurs de la messagerie sécurisée à partager leurs données personnelles avec Facebook, et pour n’avoir pas dit clairement qu’il était possible de continuer à utiliser l’application en refusant ce partage.

En Allemagne, l’autorité de protection des données personnelles de Hambourg, estimant que Facebook ne sollicitait pas vraiment l’accord des utilisateurs, lui a intimé au mois de septembre 2016 l’ordre d’arrêter immédiatement cette importation et de supprimer les informations déjà récoltées. Facebook avait fait appel peu avant que WhatsApp annonce en novembre 2016 suspendre le partage des données en Europe.

Amende, interdiction, mise en demeure…

Toujours en Allemagne, au mois d’avril 2017, la cour administrative de Hambourg a confirmé cette interdiction de partage des données. Facebook s’est cette fois plié à la décision et a annoncé cesser l’importation des données des utilisateurs européens de WhatsApp pendant ses discussions avec les autorités concernées.

En France, la Commission nationale de l’informatique et des libertés a adressé au mois de décembre 2017 une mise en demeure à WhatsApp à cause du transfert illégal de données personnelles vers Facebook. En l’espèce, la Commission a estimé que le consentement recueilli auprès des utilisateurs n’est pas valable car, en le refusant, ils se trouvent obligés de désinstaller l’application.

Article publié initialement le 15 mars 2018