Contenu

WhatsApp viole la vie privée de ses utilisateurs

C’est le résultat d’une enquête des autorités de protection des données du Canada (Commissariat à la protection de la vie privée) et des Pays-Bas (College bescherming persoonsgevens) dont les résultats viennent d’être publiés. Ces deux autorités ont examiné le traitement des données par WhatsApp Inc., société américaine fondée en 2009 et basée en Californie.

L’enquête a débuté en janvier 2012 pour se terminer en janvier 2013. Je vous propose d’en faire un résumé. Il sera surtout question de principes et directives issus du droit européen. Il n’est cependant pas exclu que les conclusions (des Pays-Bas) soient transposables en droit suisse, les bases de ce dernier en matière de protection des données relevant du droit européen.

L’enquête s’est concentrée sur plusieurs points, en particulier :

  • WhatsApp Inc. a-t-il le droit de traiter les messages de statut des utilisateurs ?
  • WhatsApp Inc. a-t-il le droit de traiter les numéros de téléphone de personnes n’utilisant pas WhatsApp ?
  • Est-il nécessaire pour WhatsApp Inc. de collecter puis traiter tous les numéros de téléphone du carnet d’adresses de ses utilisateurs ?
  • Les données collectées et traitées sont-elles stockées plus longtemps que nécessaire pour la réalisation du but de la collecte et du traitement ?
  • WhatsApp Inc. a-t-il pris les mesures techniques et organisationnelles suffisantes pour protéger les données personnelles des utilisateurs ?

(Les conditions générales d’utilisation du service et la politique de confidentialité sont disponibles respectivement ici et .)

Les réponses apportées sont les suivantes.

WhatsApp Inc. a-t-il le droit de traiter les messages de statut des utilisateurs ?

Le message de statut standard sur WhatsApp consiste en “Hey there ! I am using WhatsApp”. L’utilisateur peut changer ce message. S’il le fait, on peut supposer que l’utilisateur donne son consentement au traitement des données que constitue le statut.

L’autorité canadienne a cependant demandé à WhatsApp Inc. de diminuer le risque de diffusion de ces statuts (qui peuvent contenir des informations potentiellement sensibles) à des inconnus ou des personnes ne figurant pas dans le carnet d’adresses de l’utilisateur. En effet, un utilisateur de WhatsApp peut consulter le statut de n’importe quel autre utilisateur.

Pour sa part, l’autorité néerlandaise a demandé à WhatsApp Inc. d’afficher un message d’avertissement sur ce risque lorsque l’utilisateur change de statut.

WhatsApp Inc. a-t-il le droit de traiter les numéros de téléphone de personnes n’utilisant pas WhatsApp ?

Selon le droit néerlandais, une légitimation est nécessaire pour traiter des données personnelles. En droit européen, cette obligation provient également de l'art. 7 de la Directive 95/46/CE. En droit suisse, elle ressort notamment des art. 4, 12 à 15, et 16 et suivants de la loi fédérale sur la protection des données (LPD).

Le stockage de données sur les terminaux mobiles et l’accès à ces données n’est permis, selon le droit européen, " […] qu’à condition que l’abonné ou l’utilisateur, soit muni, dans le respect de la directive 95/46/CE, d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données […]" (art. 5 al. 3 de la Directive 2002/58/CE). Le consentement de l’utilisateur doit donc être libre, éclairé et se rapporter au traitement en question. (Pour plus de détails sur le consentement, voir cet avis du Groupe de travail “Article 29” sur la protection des données.)

WhatsApp demande un accès en écriture et en lecture au carnet d’adresses de l’utilisateur afin de déterminer si d’autres personnes qu’il connait utilisent aussi ce service. Une fois que l’utilisateur a consenti à cette demande, WhatsApp transfère et conserve les numéros de téléphone du carnet d’adresses, y compris les numéros des personnes n’utilisant pas WhatsApp. WhatsApp Inc. s’est défendu en affirmant qu’il dépersonnalise les numéros en utilisant une technique cryptographique (hachage) ; les enquêteurs n’ont pas jugé ce système efficace.

Il ne fait en principe aucun doute que les personnes utilisant déjà le service ont consenti à l’utilisation de leurs données personnelles par WhatsApp Inc. Toutefois, celles qui ne l’utilisent pas (bien que ça puisse potentiellement être le cas ultérieurement) n’ont pas consenti à cette utilisation de leurs données personnelles. Selon les enquêteurs, il n’existe pas un motif justificatif permettant à WhatsApp Inc. de se passer du consentement de ces “non-utilisateurs”. Dès lors, par la conservation des numéros de téléphone des “non-utilisateurs”, WhatsApp Inc. agit de façon contraire au droit et viole la vie privée de ces personnes.

Il serait cependant acceptable, selon l’autorité néerlandaise, que WhatsApp Inc. ne se borne qu’à une opération de comparaison de données des “non-utilisateurs” dans l’unique but de vérifier s’ils ont donné ou non leur consentement pour le traitement, puis supprime les données.

Est-il nécessaire pour WhatsApp Inc. de collecter puis traiter tous les numéros de téléphone du carnet d’adresses de ses utilisateurs ?

L’enquête a démontré qu’il n’était pas possible pour les utilisateurs de terminer l’installation de l’application sans accorder à WhatsApp le droit d’accéder au carnet d’adresses. Seuls ceux utilisant un iPhone sous iOS 6 peuvent refuser ce droit d’accès complet et entrer manuellement les numéros de quelques contacts.

Les autorités ont estimé que WhatsApp Inc. n’a pas besoin de collecter la totalité du carnet d’adresses, de l’utiliser, de l’enregistrer et de le stocker. L’utilisateur doit avoir la possibilité de choisir s’il veut rendre disponible à WhatsApp Inc. les numéros de ses contacts. Ainsi, la méthode utilisée par WhatsApp Inc. est disproportionnée et excessive, et viole le droit (sauf dans le cas où l’utilisateur d’un iPhone sous iOS 6 refuse l’accès et rentre un à un les numéros).

Les données collectées et traitées sont-elles stockées plus longtemps que nécessaire pour la réalisation du but de la collecte et du traitement ?

WhatsApp Inc. conserve les données des utilisateurs une année après qu’ils ont utilisé leur compte pour la dernière fois ou un an après l’expiration d’abonnement. La période peut s’étendre à deux ans si l’utilisateur a installé l’application mais n’a pas fermé son compte.

Les autorités estiment qu’une période de rétention aussi longue pour des utilisateurs inactifs est excessive. Elles rappellent qu’il existe un moyen pour WhatsApp Inc. de communiquer avec les utilisateurs (inactifs) et de leur faire parvenir un ou plusieurs rappels avertissant la suppression prochaine du compte si l’inactivité se prolonge.

WhatsApp Inc. s’est défendu en affirmant avoir besoin d’un accès aux données pendant la durée de l’abonnement ; les autorités n’ont pas changé d’avis. Tant que ce point n’aura pas changé, l’activité de WhatsApp Inc. viole le droit.

WhatsApp Inc. a-t-il pris les mesures techniques et organisationnelles suffisantes pour protéger les données personnelles des utilisateurs ?

La base légale se trouve à l'art. 17 de la Directive 95/46/CE (en Suisse, à l'art. 7 LPD). Plus les informations sont sensibles, ou plus la menace à la vie privée est grande, et plus l’exigence de sécurité sera analysée sévèrement. Celle-ci doit être adéquate.

WhatsApp Inc. générait des mots de passe en utilisant l'adresse MAC de l’antenne Wifi de l’iPhone et le numéro IMEI pour les autres smartphones. L’utilisation de l’adresse MAC implique des risques majeurs en terme de sécurité, notamment car le smartphone diffuse constamment cette adresse en clair, même quand la connexion est sécurisée. Ainsi, toute personne à proximité d’un utilisateur peut déterminer l’adresse MAC de son smartphone et pirater le mot de passe. L’utilisation de l’IMEI n’est pas vraiment moins risquée. Dès lors, comme les messages (combinés à d’autres informations) constituent des données personnelles, la méthode employée par WhatsApp Inc. n’était pas acceptable du point de vue de la protection de la vie privée.

Durant l’enquête, WhatsApp Inc. a adapté sa méthode de génération de mots de passe et n’utilise plus l’adresse MAC ou l’IMEI depuis décembre 2012. (Les informations sur la nouvelle méthode sont classées confidentielles dans le rapport d’enquête.) WhatsApp Inc. ne viole plus le droit, bien qu’il existe un risque avec les utilisateurs inactifs qui n’auraient pas mis à jour leur application.

Il convient de noter que WhatsApp ne chiffrait pas les messages jusqu’en mai 2012, ce qui signifie qu’ils pouvaient être facilement lus après interception. Depuis, tous les messages sont envoyés et réceptionnés de façon chiffrée.

Conclusion

WhatsApp s’est engagé à changer ses pratiques critiquées, mais n’a pas fourni d’agenda à ce sujet. Dans l’intervalle, son service continue de violer la vie privée.