Le RGPD nous protège-t-il des nouvelles conditions d'utilisation de WhatsApp ?
Si vous faites partie des 2 milliards d'utilisateurs de WhatsApp, vous avez reçu un message vous demandant d'accepter les nouvelles conditions d’utilisation de l'application. Avant le 15 mai 2021, vous devez faire un choix : accepter le transfert d'un certain nombre de données personnelles vers Facebook qui a racheté l'application en 2014 ou ne plus utiliser WhatsApp. Ces nouvelles conditions d'utilisation sont-elles conformes au RGPD qui protègent les données personnelles des Européens depuis 2018 ? Les autres applications de messagerie instantanée font-elles vraiment mieux ? Le Centre Européen des Consommateurs France s'est penché sur ces questions.
Que prévoient les nouvelles conditions d’utilisation de WhatsApp ?
Afin de garantir la sécurité de son application et d'amélioration ses services, WhatsApp, racheté par Facebook en 2014, demande à ses utilisateurs d'accepter ses nouvelles conditions d'utilisation qui prévoient entre autres le transfert de données personnelles à Facebook et à ses autres services, tels qu’Instagram ou encore Oculus.
Jusqu'à présent, le transfert de ces données était optionnel, chaque utilisateur de l'application pouvait accepter ou non de transférer à Facebook des données telles que :
- le numéro de téléphone validé lors de l’inscription,
- le modèle d'appareil sur lequel est installée l'application, la version du système d’exploitation, l'indicatif du pays du téléphone, la version de l’application utilisée etc.
- des informations sur l'utilisation de l’application : date d’enregistrement du compte, date de la dernière utilisation, fréquence et utilisation des fonctionnalités de l’application etc.
A compter du 15 mai 2021, le maintien d'un compte sur WhatsApp et l'utilisation du service est conditionné par l'acceptation du transfert de ses données à Facebook. Est-ce légal en Europe ?
Attention ! Toutes les données (contacts, photo de profil...) collectées par WhatsApp ne sont pas communiquées à Facebook. Quant aux contenus des messages (photo, vidéo, appel), ils sont cryptés et l'application ne peut ni les lire, ni les écouter et les décrypter serait à ce jour techniquement difficile. A noter également que les utilisateurs de WhatsApp, qui détiennent par ailleurs un compte Facebook ou Instagram, ont déjà accepté le transfert de leurs données personnelles.
Les nouvelles conditions de WhatsApp sont-elles conformes au RGPD ?
Dans l’Union européenne, vous devez donner votre accord de façon libre et éclairée pour que vos données personnelles soient collectées, enregistrées voire communiquées à des tiers. Cela consiste par exemple à vous indiquer quelle information sera traitée par le professionnel, dans quel but et de vous inviter à cocher une case pour formuler votre consentement sur le traitement de chaque donnée. C'est par exemple l'option qui vous est offerte à l'ouverture de nombreux sites Internet pour l'utilisation des cookies. Le RGPD prévoit cependant que la collecte, l'enregistrement et le transfert des données personnelles peuvent être justifiés par un « intérêt légitime », le consentement de l'utilisateur n'étant alors pas nécessaire. C'est le cas par exemple des informations enregistrées pour lutter contre la fraude, pour assurer la sécurité physique des personnes ou des systèmes et réseaux informatiques, pour des fins historique, scientifique ou statistique etc.
WhatsApp invoque un intérêt légitime pour imposer ses conditions générales d'utilisation, à savoir l'amélioration et la sécurité de ses services. Il s'agirait entre autres de mieux repérer les spammeurs / fraudeurs entre les différentes entités de Facebook et d’utiliser les technologies de Facebook et des autres services du groupe pour améliorer l’application.
L'intérêt légitime invoqué par WhatsApp pose question au regard du RGPD. L'autorité de protection des données personnelles en Italie, jugeant peu claire la nouvelle politique de confidentialité de l'application, a déjà décidé de soulever la question devant le Comité Européen de la Protection des Données, composé des autorités nationales chargées de la protection des données (comme la CNIL en France) et du Contrôleur européen de la protection des données. De quoi pousser WhatsApp à revoir sa copie et à retarder la mise en application de ces conditions générales d'utilisation du 8 février au 15 mai 2021.
Les autres applications protègent-elles mieux les données personnelles de ses utilisateurs ?
Les réactions négatives des utilisateurs de WhatsApp et leur engouement pour d'autres applications ne se sont pas faits attendre. Mais il convient de garder à l’esprit que toute application gratuite exploite des données personnelles et que celles-ci peuvent avoir une valeur que les entreprises monétisent. A titre d'exemples, l'application Telegram qui ne dispose pas de mentions légales sur son site Internet, a été créée en Russie et après Berlin, Londres et Singapour, sa société mère serait maintenant établie dans les Îles Vierges britanniques mais son équipe de développement serait à Dubaï ; Signal est américaine et a été créée par le cofondateur de WhatsApp ; Viber est basée en Chine. Toutes ces applications transfèrent donc des données hors de l'Union européenne, c’est-à-dire dans des pays où le niveau de protection des données n’est pas toujours équivalent à celui prévu par la réglementation européenne. Et même si le RGPD s'applique aux entreprises des pays tiers qui dirigent leurs activités vers l'UE, elles ne le respectent pas toujours et ne précisent pas forcément leur politique de protection des données.
Pour vous assurer une protection maximale, vérifiez avant de télécharger une nouvelle application :
- les informations accessibles par l'application,
- s'il est possible de partager que certaines informations,
- les paramètres de confidentialité de votre compte,
- la désactivation de la géolocalisation,
- le lieu de stockage de vos données et leur transfert à des tiers.
L'Europe reconnait la valeur marchande des données personnelles
Dans une directivequi rentrera en application dans tous les pays de l'UE en janvier 2022, l'Europe reconnait que les données personnelles sont une contrepartie indirecte au service fourni par un professionnel et que les consommateurs qui payent les applications et services numériques par leurs données personnelles doivent avoir des droits. Ainsi, à compter de 2022, vous bénéficierez par exemple d'une garantie légale de conformité sur tout contenu ou service numérique, même gratuit, qui vous permettra de demander la réparation ou l'échange d'une application, d'un logiciel ou d'un abonnement à une plateforme gratuite de streaming en cas de défaut du service.
Vous avez des questions ?
Votre interlocutrice
Elphège TIGNEL
Responsable de communication
E-mail : tignel@cec-zev.eu
Financé par l'Union européenne. Les points de vue et les opinions exprimés n'engagent toutefois que leur(s) auteur(s) et ne reflètent pas nécessairement ceux de l'Union européenne ou du Conseil européen de l'innovation et de l'Agence exécutive pour les petites et moyennes entreprises (EISMEA). Ni l'Union européenne ni l'autorité subventionnaire ne peuvent en être tenues pour responsables.
Vous avez des questions ?
Votre interlocutrice
Elphège TIGNEL
Responsable de communication
E-mail : tignel@cec-zev.eu