Le projet de Facebook de permettre les discussions entre WhatsApp, Messenger et Instagram préoccupe la CNIL irlandaise.

Jusqu’à présent cloisonnés en fonction de l’application employée, les utilisateurs de Messenger, WhatsApp et Instagram pourront-ils bientôt communiquer entre eux, sans avoir besoin de changer de plateforme ? C’est la piste qu’est en train d’explorer Facebook, la maison-mère des trois services. Selon une information du New York Times, Mark Zuckerberg souhaite faire tomber les barrières qui empêchent les uns et les autres de se parler.

La réflexion, qui n’en est de toute évidence qu’à ses débuts, a toutefois d’ores et déjà attiré l’attention de la CNIL irlandaise. L’Autorité de protection des données (Data Protection Commission) a publié le 28 janvier un communiqué demandant au réseau social américain des précisions sur son projet de « messagerie universelle » trans-plateforme. La DPC est en première ligne sur ces sujets, dans la mesure où Facebook gère ses activités européennes depuis l’Irlande.

L’application Messenger // Source : CC Kārlis Dambrāns

« La DPC examinera de très près les projets de Facebook au fur et à mesure de leur développement, en particulier dans la mesure où ils impliquent le partage et la fusion de données personnelles entre différentes sociétés Facebook », prévient l’organisme de contrôle. Et qu’importe si tout ceci est encore très loin : la DPC a demandé à la firme américaine un « briefing urgent » sur ce dossier. Car en la matière, Facebook n’a pas toujours été transparent.

« Les propositions antérieures de partage de données entre les sociétés de Facebook ont suscité d’importantes préoccupations en matière de protection des données », écrit la DPC, dans une référence à peine voilée à l’affaire de l’acquisition de WhatsApp — pour 19 milliards de dollars — par Facebook. Pour obtenir le feu vert de la Commission européenne, le site avait promis qu’il ne croiserait pas certaines données entre WhatsApp et Messenger. Mais dans les faits, les choses ont pris une tournure différente.

Le précédent WhatsApp

Au détour d’une mise à jour de ses conditions d’utilisation, WhatsApp avait annoncé, en août 2016, le partage des données personnelles des usagers de WhatsApp avec Facebook, deux ans après son rachat. Certes, Facebook avait pris soin de laisser les utilisateurs réfractaires d’exprimer leur opposition à ce transfert, mais seulement pour un temps.

Dans la mesure où les messages sur WhatsApp sont chiffrés de bout en bout, l’enjeu était de croiser les numéros de téléphone qui servent d’identifiants et d’exploiter l’historique des métadonnées, c’est-à-dire des informations qui montrent qui communique avec qui, quand, à quelle fréquence et où. Les métadonnées ne sont pas chiffrées de bout en bout. Ils ne disent rien de la conversation elle-même, mais peuvent donner des indications sur le contexte de l’échange.

Facebook avait dit qu’il « ne serait pas en mesure d’associer automatiquement et de manière fiable les comptes d’utilisateur des deux sociétés »

Sans surprise, cette annonce avait déclenché la colère de Bruxelles. En mai 2017, une amende de 110 millions d’euros a été infligée au site communautaire pour lui avoir fourni des renseignements inexacts lors du rachat de WhatsApp et trahi sa promesse au sujet du partage des données entre les deux plateformes. Le site communautaire avait pourtant assuré, au moment de l’achat de WhatsApp, qu’il « ne serait pas en mesure d’associer automatiquement et de manière fiable les comptes d’utilisateur des deux sociétés ».

L’ancêtre du Comité européen de la protection des données, le G29, qui rassemble toutes les autorités de régulation du Vieux Continent, dont la CNIL en France, était aussi monté au créneau, avec une lettre ouverte adressée à WhatsApp en octobre 2016 pour le prier de ne pas procéder au partage des données avec Facebook, estimant que le consentement des internautes concernés était sans doute invalide. Un an plus tard, le G29 publiait une autre missive réclamant une concertation avec lui.

whatsapp
Les plans de Facebook avec WhatsApp ont provoqué de vifs remous en Europe. // Source : Webster2703

Italie, Allemagne, France…

L’affaire avait aussi provoqué des remous au niveau des États : en Italie, WhatsApp s’est pris une amende de 3 millions d’euros de l’autorité de la concurrence en mai 2017 pour avoir incité ses membres à accepter ce partage et pour ne pas avoir expliqué clairement qu’il était tout à fait possible de continuer à utiliser l’application même en cas de refus.

Outre-Rhin, l’autorité de protection des données personnelles de Hambourg, jugeant que Facebook n’a pas obtenu un accord valable des utilisateurs, lui a intimé, en septembre 2016, l’ordre d’arrêter immédiatement ce transfert et d’effacer les informations déjà récoltées. Facebook avait fait appel de cette décision, mais WhatsApp a fini par décider en novembre 2016 la suspension du partage des données en Europe. Toujours en Allemagne, au mois d’avril 2017, la cour administrative de Hambourg a confirmé cette interdiction de partage des données. Cette fois, Facebook s’est plié à la décision et a annoncé cesser l’importation des données des utilisateurs européens de WhatsApp pendant ses discussions avec les autorités concernées.

Et en France ? La Commission nationale de l’informatique et des libertés a aussi donné de la voix en adressant, au mois de décembre 2017 une mise en demeure à WhatsApp. En l’espèce, la CNIL a estimé que le consentement recueilli auprès des utilisateurs n’est pas valable car, en le refusant, ils se trouvent obligés de désinstaller l’application.

Le RGPD est en place depuis le 25 mai 2018.

Cette fois, il y a le RGPD

Voilà la raison pour laquelle la DPC a immédiatement pris position sur les fuites de presse au sujet de cette plateforme universelle. « La DPC cherchera à obtenir rapidement l’assurance que Facebook tiendra pleinement compte de toutes ces préoccupations dans l’élaboration de cette proposition », écrit-elle dans son communiqué. Et surtout, « qu’en fin de compte, l’intégration proposée ne peut avoir lieu dans l’UE que si elle est capable de satisfaire à toutes les exigences du RGPD ».

En clair, il faudra que le recueil du consentement de chaque internaute soit parfaitement dans les clous. Car même si les plateformes aboutissement à du chiffrement de bout en bout pour protéger les communications des internautes, ce qui est une très bonne chose, il y a tout autour de ces échanges secrets des informations dont Facebook pourrait tirer partie.

Partager sur les réseaux sociaux