Après avoir examiné les plateformes d’expression et de partage, nous nous penchons aujourd’hui sur l’application de messagerie instantanée la plus utilisée en France avec près de 30 millions d’utilisateurs : WhatsApp. Acquise par Meta (anciennement Facebook) en 2014, WhatsApp est souvent mise en avant pour son système de chiffrement de bout en bout, qui promet une confidentialité accrue des échanges.
Pourtant, malgré ce chiffrement, de nombreuses questions se posent sur sa conformité au RGPD, notamment en raison de son lien avec sa société-mère et de la collecte d’autres types de données.
5 points positifs de compatibilité de WhatsApp avec le RGPD
1. Le chiffrement de bout en bout par défaut
C’est le point fort indéniable de WhatsApp. Le chiffrement de bout en bout signifie que seuls l’expéditeur et le destinataire peuvent lire le contenu des messages. Ni WhatsApp ni aucun tiers ne peut y avoir accès. C’est une mesure de sécurité technique et organisationnelle majeure, totalement alignée avec l’esprit du RGPD.
2. La minimisation des données de contenu
Grâce au chiffrement, WhatsApp ne traite pas le contenu des messages pour du profilage ou d’autres finalités. La plateforme a donc un accès limité aux données de contenu, ce qui respecte le principe de minimisation des données.
3. Un rôle de responsable de traitement clairement défini
Pour les données qu’elle collecte (métadonnées, informations de profil, etc.), WhatsApp agit en tant que responsable de traitement, et ses finalités sont relativement claires (faire fonctionner le service de messagerie).
4. L’absence de publicité ciblée
Contrairement aux autres applications du groupe Meta, WhatsApp ne propose pas de publicité ciblée directement au sein de son service de messagerie. Cela évite l’un des principaux points de non-conformité que nous avons vus sur Facebook et Instagram.
5. Des outils d’exercice des droits
WhatsApp propose aux utilisateurs d’exercer leurs droits. Il est possible de télécharger un rapport d’informations de son compte, et les messages peuvent être supprimés de manière unilatérale ou pour tous les membres d’une conversation. Non encore testé mais je ferai une mise à jour pour voir notamment les données issues de groupe de conversation.
5 points négatifs de compatibilité de WhatsApp avec le RGPD
1. Le partage de données avec le groupe Meta
Bien que le contenu des messages soit chiffré, WhatsApp partage des métadonnées avec les autres entités du groupe Meta (numéro de téléphone, adresses IP, statut, données de connexion, etc.). Cette collecte et ce partage, souvent réalisés à des fins de profilage inter-plateformes, constituent un point de friction majeur avec le RGPD.
2. La collecte des contacts du téléphone
Dès l’installation, WhatsApp demande l’accès au carnet d’adresses de l’utilisateur pour identifier les contacts qui utilisent également l’application. Cette pratique pose un problème majeur, car elle implique le traitement des données de tiers qui n’ont pas donné leur consentement. C’est une violation du principe de licéité et de loyauté.
3. Le transfert de données hors de l’UE
Comme ses cousines, WhatsApp transfère les métadonnées de ses utilisateurs vers les serveurs de Meta aux États-Unis. Ces transferts sont soumis aux mêmes réserves que celles formulées par les autorités européennes pour Facebook et Instagram.
4. La gestion des données pour WhatsApp Business
De plus en plus d’entreprises utilisent WhatsApp Business. Cela crée une coresponsabilité du traitement des données entre l’entreprise et WhatsApp. L’entreprise doit s’assurer que sa relation contractuelle avec WhatsApp respecte le RGPD, ce qui n’est pas toujours simple.
5. Les mises à jour des conditions d’utilisation
En 2021, WhatsApp a tenté de modifier ses conditions d’utilisation pour forcer le partage de données avec Facebook, ce qui a déclenché une vague d’indignation et de nombreuses enquêtes de la part des autorités de protection des données, prouvant que la plateforme est en tension avec les principes du RGPD.
Conclusion : Le verdict de compatibilité
L’évaluation de WhatsApp est complexe. D’un côté, le chiffrement de bout en bout est un atout majeur qui garantit la confidentialité des communications. D’un autre côté, le modèle économique de sa société-mère, basé sur le partage de données et le profilage, contredit de nombreux principes du RGPD.
Mon évaluation : 60% de compatibilité avec le RGPD.
La note élevée par rapport aux autres plateformes du groupe Meta s’explique par le chiffrement des messages et l’absence de publicité ciblée au sein de l’application. Cependant, le partage des métadonnées avec Meta et la collecte non-consentie des contacts empêchent une note de conformité plus élevée.
Rendez-vous dans le prochain article de notre série où nous regarderons des vidéos et pas que celles avec les petits chats mignons sur YouTube !