Bien que le transfert des données utilisateurs entre Facebook et Whatsapp soit temporairement et partiellement suspendu, les Cnil européennes estiment que les garanties présentées par la messagerie instantanée à ses utilisateurs européens ne sont pas satisfaisantes. Aux géants américains aussi, il faut expliquer la notion de consentement.
Le G29 se rappelle au bon souvenir de WhatsApp. Dans un courrier, l’organisation regroupant les gendarmes européens des données personnelles demandent à Jan Koum, le fondateur de la messagerie instantanée, de revoir ses conditions d’utilisation afin de se mettre en conformité avec la réglementation européenne. En cause, la mise à jour des CGU de WhatsApp en août 2016 permettant le transfert de données avec Facebook.
Or à l’occasion du rachat de WhatsApp par l’entreprise de Mark Zuckerberg, cette dernière assurait être dans l’incapacité « d’associer automatiquement et de manière fiable les comptes d’utilisateurs des deux sociétés ». Un mensonge éhonté qui vaudra à Facebook une amende de 110 millions d’euros infligée par la Commission européenne en mai 2017. Depuis, les transferts entre les deux services sont suspendus et WhatsApp a mis à jour ses conditions d’utilisation dans une « Notice for EU users ».
Le consentement en une leçon
Laquelle ne satisfait guère la Cnil et ses homologues. Car la condition au partage des données entre les deux entités est, évidemment, le consentement des utilisateurs européens. Consentement qui doit être, en vertu des règles européennes, non ambigu, informé, spécifique et librement donné. Et c’est là que ça bloque. « L'utilisateur n'est toujours pas correctement informé de la collecte, du traitement ou de l'utilisation prévus des données » soulignent les régulateurs. N’est pas explicité, par exemple, quelles informations sont partagées avec Facebook.
D’autant que l’utilisateur n’a pas vraiment le choix . « Si vous n'acceptez pas notre politique de confidentialité, telle que modifiée, vous devez cesser d'utiliser nos services » précise la notice émise par WhatsApp. En d’autres termes, soit vous acceptez en totalité le partage de vos données avec Papa Facebook, soit vous désinstallez l’application. « Le G29 considère que le consentement ne peut pas être donné librement par les utilisateurs de WhatsApp en l'absence de contrôles utilisateurs suffisamment détaillés permettant un niveau approprié de contrôle sur le partage des données » écrivent les Cnil européennes.
Une rencontre au sommet
Il n’est pas non plus spécifique, faute de possibilité de décider quelles données seront partagées et à quelles fins. Et justement, pour être non ambiguë, « la procédure de demande et de consentement ne doit laisser aucun doute quant à l'intention de la personne concernée de donner son consentement ». Mais WhatsApp coche par défaut l’utilisation des données « dans le but d'améliorer les publicités et les expériences sur les produits Facebook ». Or le consentement par défaut, voilà qui est fort ambigu.
En conclusion de sa missive, Isabelle Falque-Pierrotin, patronne de la Cnil et du G29, invite les dirigeants de Facebook et de WhatsApp à « s'engager de manière positive avec le groupe de travail pour répondre aux préoccupations en matière de protection des données et de confidentialité ». En s’expliquant devant le groupe à l’occasion d’une prochaine réunion par exemple. Pour l’heure, les régulateurs font le choix de la pédagogie et de la discussion avec le géant américain… mais les sanctions pourraient rapidement tomber s’il devait ne pas se mettre en conformité.