WhatsApp transfère-t-elle des données à Facebook ?

Au cours d'une discussion à propos de la protection des données personnelles, j'ai dit que WhatsApp partageait les données de ses utilisateurs avec Facebook ce à quoi on m'a rétorqué que non ce n'était plus le cas car la CNIL avait fait interrompre la transmission des données. Comme j'ignorais cette partie de la relation entre WhatsApp et Facebook, j'ai décidé de faire quelques recherches afin de pouvoir répondre à cette question : « L'application WhatsApp transfère-t-elle des données à Facebook ? »

Pour en avoir le cœur net sur la relation entre Facebook et WhatsApp, j'ai commencé à lire tous les articles à propos des échanges de données entre Facebook et WhatsApp depuis le rachat de ce dernier par ce premier en février 2014.

Je vous propose donc ci-dessous une chronologie de faits relatés notamment par Nextinpact, ma source d'information privilégiée que je considère sûre pour les sujets numériques et juridiques.

Table des matières :

Petit historique

19/02/2014 : Facebook rachète WhatsApp pour 16 milliards de dollars

Tout d'abord, Facebook décide de racheter WhatsApp pour 16 milliards de dollars (19 milliards si on compte les 3 milliards destinés aux fondateurs) en février 2014.

Alors que les rumeurs allaient bon train, c'est désormais officiel : Facebook vient de racheter la messagerie instantanée WhatsApp pour la bagatelle de 16 milliards de dollars. Pour rappel, ce service revendique plus de 450 millions d'utilisateurs mensuels. Source : Nextinpact

03/10/2014 : La Commission Européenne autorise le rachat

La Commission Européenne a fait une enquête pour vérifier que ce rachat ne provoquait pas de problèmes de concurrence et a ensuite validé que ça ne poserait pas problème. Elle n'a pas analysé les aspects concernant la vie privée.

Dans le cadre de la présente enquête, la Commission a analysé les éventuels problèmes de concentration des données uniquement dans la mesure où ils pourraient entraver le jeu de la concurrence sur le marché de la publicité en ligne. Les inquiétudes éventuelles quant au respect de la vie privée découlant de la concentration accrue des données sous le contrôle de Facebook par suite de l’opération n’entrent pas dans le champ d’application du droit de la concurrence de l’UE. Source: Europa.eu Compte tenu de ce qui précède, la Commission a conclu que l’opération ne poserait pas de problèmes de concurrence. Source: Europa.eu

26/08/2016 : WhatsApp met à jour son application et laisse 30 jours aux utilisateurs pour s'opposer au partage de leurs données vers Facebook

Le cloisonnement des données entre WhatsApp et Facebook touche à son terme. Hier, le service de messagerie instantanée a annoncé de nouvelles conditions d'utilisation et une nouvelle politique de confidentialité, qui brisent les barrières entre le service et sa maison-mère, Facebook. En acceptant ces documents, l'utilisateur permet ainsi au service de partager son numéro de téléphone et quelques autres informations personnelles, comme la date de la dernière connexion. Source : Nextinpact Les utilisateurs qui acceptent les nouvelles conditions ont 30 jours pour refuser le partage d'informations avec Facebook. Dans l'application mobile, il faut se rendre dans les paramètres du compte, et décocher le partage d'informations. Une fois désactivée, l'option disparaît simplement. Source : Nextinpact

28/09/2016 : l'Allemagne refuse le partage des données des utilisateurs allemands

La Commission de Hambourg pour la protection des données et la liberté de l’information (la CNIL allemande) réagit dans le mois suivant la mise à jour de WhatsApp pour demander à Facebook de suspendre le transfert des données entre WhatsApp et Facebook.

Dans une décision publiée hier, la Commission de Hambourg pour la protection des données et la liberté de l’information (équivalent allemand de la CNIL), ordre est donné à Facebook de couper « la synchronisation de masse » avec WhatsApp. Et non seulement la porte doit être verrouillée, mais les données déjà récupérées doivent être supprimées. Une mesure donnée par précaution, Facebook n’ayant a priori pas commencé la collecte. Source : Nextinpact

N.B. Je pense que Nextinpact indique que Facebook n'a a priori pas commencé la synchronisation des données, et ne devrait pas avoir de données d'utilisateurs allemands à supprimer en suivant cette décision car le 27 septembre, le jour où la Commission de Hambourg pour la protection des données rend sa décision, c'est à peine 32 jours depuis le 26 août, date de la mise à jour de la politique de confidentialité de WhatsApp. C'est-à-dire tout juste la fin du délai accordé par WhatsApp pour laisser les utilisateurs s'opposer à ce partage de données. Je ne suis ici pas tout à fait sûr de comprendre si le délai de 30 jours est censé être rigoureusement respecté ou non par Facebook.

La raison de cette décision, c'est qu'il n'y a pas de base légal pour permettre cet échange de données en Facebook et WhatsApp. Aussi, les utilisateurs n'ont pas donné leur autorisation explicite.

En d’autres termes, Facebook et WhatsApp opèrent hors de tout cadre légal : « Un tel échange n’est admissible que si les deux entreprises – celle qui fournit les données (WhatsApp) et celle qui les reçoit (Facebook) – ont établi une base juridique pour le faire ». Or, il y a deux problèmes. D’une part, Facebook n’a pas obtenu d’accord formel des utilisateurs pour l’échange de données. D’autre part, il n’existe pas de telle base pour ce type de transfert de d’informations. Source : Nextinpact Le Commissaire Johannes Caspar indique que l’autorité « protège les données de 35 millions d’utilisateurs WhatsApp en Allemagne ». S’ils souhaitent connecter leur compte à Facebook, « cela doit être leur décision ». Il souligne un autre problème : même si la décision de Facebook concerne avant tout les utilisateurs WhatsApp, d’autres numéros de téléphone peuvent être envoyés, puisque l’application accède au carnet d’adresses. Des personnes n’ayant rien demandé, n’étant ni utilisatrices de WhatsApp, ni de Facebook. Source : Nextinpact

28/10/2016 : Les CNIL européennes demandent « instamment » d'arrêter le partage des données personnelles

Un mois plus tard, c'est le groupe du G29, qui rassemble toutes les autorités de protection des données personnelles de l'Union Européenne dont la CNIL, de demander à Facebook d'interrompre le partage des données car il s'inquiète de la validité du consentement des utilisateurs.

Le G29 exprime sa vive préoccupation à propos du partage d’information réalisé au sein de la « famille d’entreprises Facebook » pour des finalités qui n’étaient pas inclues dans les conditions d’utilisation et la politique de confidentialité au moment où les actuels utilisateurs ont souscrit au service WhatsApp. Le G29 s’inquiète donc de la validité du consentement de l’utilisateur, de l’efficacité des mécanismes fournis aux utilisateurs pour exercer leurs droits et des droits incombant aux non-utilisateurs de Facebook dans le contexte d’un tel changement de politique de confidentialité. Le G29 requiert que WhatsApp lui communique toute information pertinente dès que possible et demande instamment à l’entreprise d’arrêter le partage des données de ses utilisateurs jusqu’à ce que les garanties juridiques appropriées puissent être apportées. Source : CNIL via Nextinpact

08/11/2016 : L'ICO (CNIL du Royaume-Uni) demande la mise en pause de la synchronisation des données

Quelques jours plus tard, c'est au tour de l'ICO (équivalent de la CNIL au Royaume-Uni) de réagir aussi et fait interrompre le transfert de données des utilisateurs de WhatsApp du pays.

L’affaire pourrait cependant prendre un autre tournant avec la décision prise hier par Facebook, sous la pression de l’ICO (équivalent anglais de la CNIL).. Dans un billet de blog publié hier en soirée, la commissaire Elizabeth Denham explique qu’elle avait rapidement fait remonter ses inquiétudes sur la protection des utilisateurs après l’annonce d’août. Des doléances qui ont été entendues, puisque l’entreprise met en pause le transfert des données. Mais seulement en pause pour l’instant... Source : Nextinpact

20/12/2016 : La Commission Européenne affirme que Facebook a fourni des informations trompeuses

Encore un mois plus tard, dans un communiqué de presse, la Commission Européenne affirme que les informations fournies lors de l'enquête de concurrence en 2014 pour le rachat étaient inexactes concernant la possibilité technique d'associer des comptes utilisateurs entre Facebook et WhatsApp. Cependant, cette information avait peu d'importance dans la décision autorisant le rachat.

Lors qu'elle s'est penchée sur le projet d'acquisition de WhatsApp par Facebook, la Commission a examiné, entre autres éléments, la possibilité que Facebook associe les comptes de ses utilisateurs aux comptes des utilisateurs de WhatsApp. Dans sa notification de l'opération en août 2014 et en réponse à une demande d'information, Facebook a indiqué à la Commission qu'elle ne serait pas en mesure d'associer automatiquement et de manière fiable les comptes d'utilisateur des deux sociétés. Si la Commission a tenu compte de cette information lors de son examen de l'opération, elle ne s'est pas exclusivement fondée dessus lorsqu'elle a approuvé l'opération. Source : Europa.eu

Comme il s'agit seulement d'une irrégularité dans la procédure, Facebook ne court que le risque d'une amende.

La présente enquête est limitée à l'appréciation de la violation des règles de procédure. Étant donné que la décision de la Commission d'octobre 2014 d'autoriser le rachat de WhatsApp par Facebook se fondait sur de nombreux facteurs ne se limitant pas à la possibilité d'associer des comptes d'utilisateur, la présente enquête n'aura pas d'incidence sur cette décision qui reste valable. La présente enquête n'a rien à voir non plus avec les questions connexes de protection de la vie privée, des données ou des consommateurs. Source : Europa.eu

18/05/2017 : Amende de 110 millions d'euros par la Commission Européenne

Quelques mois plus tard, la Commission Européenne inflige une amende de 110 millions d'euros à Facebook pour les informations inexactes fournies lors du rachat en 2014.

Quand une combinaison de données « impossible » en 2014 est effectuée en 2016, la Commission européenne voit rouge. Elle vient d'infliger une amende de 110 millions d'euros à Facebook, accusé de lui avoir fourni des informations trompeuses lors du rachat de WhatsApp. Source : Nextinpact

19/12/2017 : Mise en demeure publique de la CNIL

Un an et demi après le fait initial, la CNIL rend sa décision le 27 novembre 2017 et la rend publique le 19 décembre de mettre en demeure WhatsApp.

Dans sa délibération, rendue volontairement publique, WhatsApp est mise en demeure de ne plus transmettre sans base légale, dans un délai d’un mois, les données des utilisateurs Facebook pour la finalité de « business intelligence ». Source : Nextinpact À défaut, la CNIL pourra infliger l’une des sanctions prévues par la loi CNIL, une amende de 3 millions d’euros, ou ordonner l’interruption du traitement de certaines des données à caractère personnel pour une durée maximale de trois mois. Source : Nextinpact

Ce qui est intéressant, c'est la notion de finalité de traitement de ces données personnelles. La CNIL en dénombre deux : la « business intelligence » et la sécurité auquel s'ajoute une troisième qui n'avait pas encore été mis en œuvre, la publicité. La décision de la CNIL concerne les données transmises pour la finalité de « business intelligence » et non pas les deux autres (dont une censée ne pas être en place).

La problématique gagne en intensité lorsqu’on s’approche des finalités des traitements entre WhatsApp et Facebook. L’une d’elles vise le « business intelligence », anglicisme derrière lequel Facebook s’offre la possibilité de profiler très précisément chacun des 10 millions d’utilisateurs de WhatsApp en France.Voilà qui fait un peu beaucoup : « ce traitement massif d’informations par un seul acteur et pour des finalités non clairement déterminées, entraine un déséquilibre au détriment de l’utilisateur qui ne peut être corrigé qu’en lui permettant de garder la maitrise de ses données » déplore encore la CNIL. Source : Nextinpact La société a ensuite indiqué que la transmission des données poursuivait deux finalités. La première finalité, dite de business intelligence , lui permet de bénéficier de services de la part des autres sociétés de la famille FACEBOOK Inc afin, par exemple, d’analyser les habitudes d’utilisation des utilisateurs. Ce partage de données permettrait notamment à la société WHATSAPP d’explorer et de déverrouiller les moyens de développer et étendre son activité . La deuxième finalité porte sur la sécurité, l’échange d’informations entre les sociétés ayant pour objet la lutte contre les comptes abusifs, menaçants ou contrefacteurs. Elle a par ailleurs indiqué qu’une troisième finalité ayant pour objectif l’amélioration de l’expérience des utilisateurs concernant les publicités et les produits FACEBOOK, était envisagée mais que les traitements relatifs à cette finalité n’avaient pas encore été mis en œuvre. Au cours de l’audition qui s’est déroulée dans les locaux de la CNIL le 14 juin 2017, la société a précisé que le seul moyen mis à disposition des utilisateurs de l’application pour s’opposer à la transmission de leurs données à FACEBOOK Inc, dans le cadre des deux premières finalités, consistait en la suppression de leur compte. Source : Legifrance

Fin de l'histoire ?

J'ai donc retracé ce que j'ai pu de l'histoire concernant le partage des données des utilisateurs de WhatsApp avec Facebook et il faut dire que je ne me trouve pas beaucoup plus avancé. Toutes les sources que j'ai trouvées informent de la réaction des autorités comme la Commission Européenne, la CNIL et le G29, mais donnent peu d'informations sur les actions concrètes de Facebook et WhatsApp. WhatsApp a-t-elle définitivement suspendu le partage des données ? A-t-elle adapté sa politique de confidentialité pour à nouveau relancer le partage ?

Pour finalement savoir l'état des choses aujourd'hui, en ce mois de février 2019, je suis allé voir directement la Politique de Confidentialité de WhatsApp dont la dernière modification date du 24 avril 2018.

Première chose à noter, en tant qu'européens, il s'agit de WhatsApp Ireland Limited et non pas WhatsApp Inc. qui gère nos données. Nous devons donc lire la Politique de Confidentialité correspondante

Si vous résidez dans la Région Européenne, WhatsApp Ireland Limited vous fournit WhatsApp en se conformant à ces Conditions d'utilisation et Politique de confidentialité. Source : Mentions légales de WhatsApp

Ensuite, nous trouvons de petites subtilités dans cette page : nous retrouvons la mention de deux finalités, que nous avons vues précédemment, dans une phrase où WhatsApp fait comprendre qu'il n'y a pas de transfert de donnés avec Facebook. WhatsApp ne transmettrait donc pas d'informations pour la « business intelligence » ni pour la publicité. Après avoir relu, je comprends que Facebook ne dit pas que les informations ne sont pas transférées, ni qu'elles ne sont pas utilisées, mais simplement qu'elles ne sont pas utilisées pour l'expérience des utilisateurs sur Facebook. (Ce n'est pas très clair que de décrire quelque chose en la formulant par la négative).

Aujourd’hui, Facebook n’utilise pas les informations de votre compte WhatsApp pour améliorer votre expérience avec les produits Facebook ni pour vous proposer des publicités Facebook plus ciblées sur sa plateforme. Source : Mentions légales de WhatsApp

Cependant un peu plus tard, on rencontre une tournure de phrase où je comprends, je précise que je ne suis pas juriste, que Facebook peut exploiter les informations des utilisateurs de WhatsApp dans le but, entre autres, de « comprendre » et « personnaliser » leurs services. À mon avis, comprendre et personnaliser veut dire être capable de profiler les utilisateurs afin de comprendre leur utilisation et personnaliser leur expérience, c'est-à-dire de la « business intelligence »

En tant que membre des entités Facebook, WhatsApp reçoit des informations des entités Facebook et leur transmet également des informations. Nous pouvons utiliser les informations qu'elles nous envoient, et elles peuvent utiliser celles que nous leur transmettons, afin de nous aider à exploiter, fournir, améliorer, comprendre, personnaliser, prendre en charge et commercialiser nos Services et leurs offres. Source : Mentions légales de WhatsApp

J'ai ensuite trouvé une autre citation qui me semble explicite sur le fait que les données des utilisateurs sont partagées avec les autres entités de Facebook.

Lorsque nous partageons des informations avec des fournisseurs de services tiers et les entités Facebook de cette manière, nous leur demandons d'utiliser vos informations en notre nom conformément à nos règles et conditions. Source : Mentions légales de WhatsApp

Même si je ne suis pas juriste, je ne suis peut-être pas le seul à trouver des incohérences entre la Politique de Confidentialité et les Conditions Générales d'Utilisation de WhatsApp.

Déjà, les conditions générales et la politique de confidentialité ne disent pas vraiment la même chose. D’un côté, il est affirmé en substance que Facebook ne traite pas les données transmises, de l’autre que le même réseau peut les utiliser. Source : Nextinpact

Bref, je pense que nous pouvons demander à WhatsApp d'être plus clair dans ses CGU et sa Politique de Confidentialité (même si nous pouvons noter qu'elles sont très lisibles), afin qu'un utilisateur lambda puisse comprendre ce que l'on fait de ses données sans avoir l'expérience d'un juriste pour comprendre les nuances dans les termes utilisés.

Conclusion

Finalement, après avoir passé six heures et demies réparties en quatre soirées pour écrire cet article, même si j'ai probablement perdu du temps à remonter l'historique, je pense pouvoir affirmer à partir de la Politique de Confidentialité que WhatsApp partage bien des informations des utilisateurs avec les entités Facebook.

Je me permettrais aussi de préciser, qu'étant donné que Facebook a fourni des informations erronées concernant la possibilité d'associer les comptes des utilisateurs de WhatsApp et Facebook, que nous ne pouvons pas faire confiance aux affirmations de ces entreprises si jamais un doute subsistait toujours.

Pour rappel, Brian Acton, fondateur de WhatsApp qui a revendu son entreprise à Facebook, avait été encouragé par Facebook pour dire qu'il était « très difficile » de fusionner les comptes utilisateurs entre WhatsApp et Facebook, comme il le raconte dans son entrevue avec TechCrunch (en anglais).

In perhaps the most telling tidbit of the interview, Acton reveals that even before the WhatsApp acquisition had been cleared he was carefully coached by Facebook to tell European regulators it would be “really difficult” for it to combine WhatsApp and Facebook user data. “I was coached to explain that it would be really difficult to merge or blend data between the two systems,” Acton said. An ‘impossible conjoining’ that Facebook subsequently, miraculously went on to achieve, just two years later, which later earned it a $122M fine from the European Commission for providing incorrect or misleading information on the original filing. (Facebook has maintained that unintentional “errors” were to blame.) Source : TechCrunch

Maintenant vous savez !

Que pensez-vous de cet article ? N'hésitez pas à envoyer un commentaire.