Dossier

WhatsApp : 5 questions à une avocate pour comprendre les nouvelles CGU

apps

Par Amandine Jonniaux le

Le déploiement des nouvelles CGU de WhatsApp a suscité de nombreuses interrogations et inquiétudes, aussi bien du côté des utilisateurs que des autorités publiques. Pour tenter d'y voir un peu plus clair, une avocate spécialisée répond à nos questions.

whatsapp logo
© antonbe via Pixabay

Après une communication compliquée depuis leur officialisation en janvier, WhatsApp a déployé ses nouvelles conditions générales d’utilisation. Depuis le 15 mai 2021, ces dernières prévoient un nouveau service d’interaction entre les entreprises et les utilisateurs. Une pratique qui fait déjà grincer des dents à l’internationale, et notamment en Europe, où l’Allemagne a accusé le géant du web de violer le Règlement Général de la Protection des Données (RGPD). Pour tenter d’y voir un peu plus clair, on a interrogé Maître Claire Poirson, avocate associée au sein du Cabinet BERSAY, spécialisée dans les nouvelles technologies et les données personnelles.

Concrètement, qu’est-ce qui va changer concernant nos données sur WhatsApp ?

Le partage entre Facebook et WhatsApp existe déjà depuis 2014, il n’est donc pas nouveau. On sait déjà quels types de données l’entreprise collecte, mais on sait aussi que ces dernières sont chiffrées, ce qui induit une certaine sécurité. Avec les nouvelles CGU de WhatsApp, les entreprises présentes sur la plateforme pourront désormais communiquer avec leurs clients. Les échanges que vous aurez avec ces entreprises pourront être utilisés à des fins commerciales, pour alimenter la publicité ciblée, sur votre compte Facebook par exemple. Le problème qui se pose à partir de là, c’est que WhatsApp s’exonère de toute responsabilité, en partant du principe que les entreprises qui utilisent son service respectent le RGPD. Or les politiques de confidentialité de ces prestataires tiers peuvent très bien prévoir d’autres partages de données. S’ils sont en relation avec Facebook notamment, le réseau social pourra potentiellement récupérer de la publicité ciblée. Cela peut conduire à beaucoup d’échanges d’informations, et c’est justement sur ce point que les choses ne sont pas claires.

Une entreprise peut-elle légalement imposer à ses utilisateurs un changement de CGU qui n’est pas strictement nécessaire au fonctionnement de son application ?

Dans le RGPD, vous avez ce qu’on appelle le consentement spécifique. Normalement, vous devriez pouvoir consentir à chaque finalité, indépendamment des autres. Dans le cas de WhatsApp, on se demande un peu pourquoi l’entreprise ne permet pas de refuser le nouveau service, tout en acceptant les autres. Là, on se retrouve avec un consentement qui doit être donné en bloc, alors même que vous n’utiliserez peut-être jamais l’application de cette façon.

Le sujet qui est ici essentiel pour moi en tant qu’avocate, c’est celui du consentement. Dans le cas de WhatsApp, il semble a priori vicié, parce que si vous n’acceptez pas en bloc les nouvelles conditions générales d’utilisation, vous allez vous retrouver avec des services très limités, qui mèneront à la suppression du compte après 120 jours d’inactivité. Officiellement, ils disent que ce nouvel outil est lié à l’amélioration de leur service. En fait, il s’agit plutôt d’un moyen de monétiser un nouveau service, tout en gagnant toujours plus d’utilisateurs, et notamment des entreprises.

La nouvelle politique de confidentialité de WhatsApp est-elle conforme au RGPD ?

C’est une très bonne question ! J’ai beau être juriste, quand je lis les 20 pages des nouvelles conditions générales de WhatsApp, j’ai du mal à me positionner. En toute honnêteté, je ne pourrais pas vous affirmer qu’elles sont conformes au RGPD ou qu’elles ne le sont pas. Le texte fait notamment appel à un système qui s’appelle le renvoi. Quand vous voulez avoir plus d’info sur un sujet, ils vous renvoient vers autre chose, et au final l’utilisateur peut vite se trouver “perdu” dans l’information qui lui est donnée à plusieurs endroits.

C’est une pratique qui typiquement a déjà été retoquée par la CNIL, puisqu’on estime que si l’information n’est pas claire pour l’utilisateur, il ne pourra pas consentir librement. De plus, il y a des principes généraux édictés par le RGPD, dont un qui est la nécessité de fournir une information libre et éclairée afin d’obtenir un consentement réel. Pour moi, le problème est là. Les autorités ont une latitude d’appréciation ici et pourraient bien retoquer WhatsApp sur ses nouvelles CGU.

Quels sont les recours légaux en France et en Europe ?

En attendant une décision européenne, le RGPD permet aux pays concernés de prendre des mesures temporaires. C’est ce qu’a fait l’Allemagne en demandant à Facebook de ne pas collecter de données sur son territoire. Mais l’entreprise a déjà annoncé qu’elle contestait cette décision, en expliquant que l’interdiction des autorités allemandes reposait sur une “erreur d’interprétation”. L’entreprise est passée outre la demande provisoire allemande, et estime que tant qu’il n’y a pas de décision de justice européenne en ce sens, elle ne changera pas la politique de confidentialité de WhatsApp. WhatsApp est dans son droit, mais c’est à ses risques et périls. En France, la CNIL ne s’est pas encore prononcée. Mais elle a jusqu’à présent joué le jeu, en sanctionnant Google et Amazon ces derniers mois, elle ne devrait donc pas tarder à rendre son avis.

Pourquoi les données personnelles sont-elles un sujet aussi sensible en Europe ?

En Europe, il y a une vraie volonté de contrôle sur ce qui se fait, tout en offrant une transparence totale aux utilisateurs sur l’usage de leurs informations personnelles. On considère que les données sont un attribut de la personnalité. Il est donc possible de les monétiser, mais il faut que l’internaute en ait conscience, et qu’il ait exprimé son accord. C’est une conception qui s’oppose au modèle américain, où l’on considère que les données personnelles peuvent constituer une donnée mercantile comme une autre, mais aussi à la Chine, ou les données sont utilisées à des fins de surveillance. Les autorités de protection telles que la CNIL sont là pour veiller à l’application du RGPD. En Europe, on a réussi à créer un règlement commun aux états membres, il faut maintenant s’assurer qu’il est correctement appliqué. À l’avenir, il va donc y avoir un véritable enjeu concernant la surveillance des datas européennes.