Le rachat, en octobre 2014, de Whatsapp par Facebook pour la maudite somme de $ 22 milliards n’est pas passé inaperçu, étant donné qu’il s’agissait de la somme la plus importante jamais proposée pour l’acquisition d’une application numérique. Du point de vue de la protection à la vie privée des utilisateurs de ces services numériques, plusieurs autorités gouvernementales ont rapidement craint qu’un tel regroupement ne permette un échange de données libre de tout contrôle, au détriment de la vie privée des individus. L’Union européenne avait rapidement fait part de son inquiétude vis-à-vis de cette thématique. Pour calmer la situation et rassurer les esprits, Facebook avait déclaré que même après l’acquisition du service de messagerie numérique, il ne serait pas possible d’établir de rapprochements automatiques et fiables entre les comptes des utilisateurs Facebook et ceux de WhatsApp.  

Cependant, les conditions générales de WhatsApp ont été modifiées en août 2016. Celles-ci prévoyaient que la filiale pouvait dorénavant partager ses données avec sa maison-mère à des fins de publicité, de sécurité et de « business intelligence », soit pour l’amélioration de ses performances et l’optimisation de son exploitation. Ces conditions ont progressivement été soumises aux utilisateurs et ces derniers avec un délai de 30 jours pour retirer leur consentement. En substance, une fois la case relative aux nouvelles conditions générales cochée, conditions que soit dit en passant peu de personnes prennent le temps de lire, les numéros de téléphone et habitudes d’utilisation sont partagés avec la maison mère.

Depuis, plusieurs états européens ont condamné la nouvelle politique adoptée par WhatsApp, accusant celle-ci de mettre en péril la vie privée de leurs citoyens. Ils retiennent par ailleurs que la compagnie de messagerie numérique a poussé les utilisateurs à croire qu’il ne serait pas possible d’utiliser le service à moins d’accepter les nouveaux termes de leurs conditions d’utilisation. En septembre 2016, l’autorité de protection des données de la Ville-Etat de Hambourg, ville où est installé le siège allemand de Facebook et dont les décisions s’appliquent au territoire national, a enjoint la compagnie américaine d’interrompre le rassemblement de données des utilisateurs allemands de WhatsApp et d’effacer les données déjà acquises par Facebook. Deux mois après, la commissaire à l’information du Royaume Uni avait exprimé son inquiétude et déclaré avoir soumis un engagement aux deux sociétés américaines afin que celles-ci s’obligent à informer les consommateurs et accordent à ces derniers un contrôle effectif quant à l’utilisation qui est faite de leur données. Suite aux nombreuses critiques de leur nouvelle politique, Facebook avait finalement accepté d’interrompre la collecte des données personnelles des utilisateurs anglais. Le 12 mai dernier, c’est au tour de l’Italie d’exprimer son mécontentement vis-à-vis de ces nouvelles conditions d’utilisation. L’autorité anti-trust italienne a condamné WhatsApp à une amende de 3 millions d’euros, suite à une investigation lancée par cette même autorité, pour avoir trop fortement poussé les utilisateurs de cette application à accepter le partage de leurs données avec la maison-mère. Six jours après, la Commission Européenne a elle aussi condamné Facebook à une amende de 110 millions d’euros pour avoir violé le Règlement n°139/2004 du 20 janvier 2004 relatif au contrôle des concentrations entre entreprises. Selon cette règlementation (art. 11), les compagnies envers lesquelles des renseignements sont demandés ont l’obligation de livrer des informations complètes et correctes à la commission. Lors de l’enquête menée en 2014 par la Commission afin d’examiner la légalité de l’acquisition, Facebook avait déclaré qu’elle ne permettrait pas d’associer automatiquement et de manière fiable les comptes des utilisateurs des deux sociétés, argument que la Commission avait retenu lors de l’autorisation de l’opération d’acquisition. Cependant, comme relevé ci-avant, les conditions d’utilisation ont été modifiées en 2016 et s’éloignent radicalement de ce qui avait été initialement annoncé par Facebook. 

C’est maintenant au tour de la France de condamner le comportement adopté par Facebook. De par sa décision de mise en demeure du 27 novembre dernier, rendue publique ce 18 décembre, la Commission nationale de l’informatique et des libertés (ci-après CNIL) a relevé qu’un certain nombre de transmissions de données effectuées par Facebook, dont celles répondant à la finalité de « business intelligence », ne reposait sur aucune base légale valable, alors que la Loi Informatique et Libertés (Loi 18-17 du 6 janvier 1978) exige que ces transferts soient justifiés par une telle base. Par ailleurs, ni le consentement des utilisateurs ni l’intérêt légitime de la compagnie de messagerie numérique ne peuvent être soulevés pour justifier ces transmissions de données. En effet, la Commission considère que le consentement requis auprès des individus n’est pas libre, étant donné que l’unique moyen de s’opposer à l’utilisation de nos données pour la finalité de « business intelligence » est de désinstaller l’application. La compagnie, tel que reproché à plusieurs entreprises dominantes sur le marché numérique, est accusée d’utiliser le système du « take it or leave it ». Du côté de WhatsApp, l’échange de données avec Facebook dans le but d’améliorer ses services ne peut être qualifié d’intérêt légitime répondant à des motifs de sécurité ou de fonctionnement. De plus, la Commission accuse la compagnie de messagerie numérique de manquement à l’obligation de coopérer, obligation énoncée à l’art. 21 de la Loi Information et Libertés, du fait que celle-ci ait refusé de communiquer un échantillon de données des utilisateurs français transmises à la maison-mère, alléguant qu’elle n’était pas soumise à la législation française. Cependant, selon l’art. 5 al. 1 ch. 2 de la Loi Information et Libertés, la Commission peut se considérer pleinement compétente dès qu’un fournisseur de service numérique met en œuvre des moyens de traitements situés sur le territoire français. La France a donc mis en demeure la compagnie WhatsApp de se conformer à la législation nationale dans un délai d’un mois et exige notamment que celle-ci offre aux utilisateurs français la possibilité de s’opposer à un transfert éventuel de données à sa maison mère, tout en continuant à bénéficier du service. Dans le cas contraire, la Commission pourra prononcer une sanction pécuniaire à l’encontre de la société de messagerie numérique, sanction qui, au sens de l’art. 47 Loi Information et Libertés, pourrait atteindre 3 millions d’euros.

On voit donc l’effort mis par les agences gouvernementales européennes chargées de la protection de la vie privée de leurs citoyens. Depuis le rachat de WhatsApp par Facebook en 2014, les gouvernements européens et la Commission européenne elle-même n’a cessé de garder un œil grand ouvert quant aux éventuels transferts de données effectués par les entreprises actives sur les plateformes numériques concernant leurs citoyens. Depuis l’annonce de la mise à jour des conditions d’utilisation de la société de messagerie numérique, plusieurs sanctions et avertissements ont été émis à l’encontre de la compagnie américaine. Les amendes imposées peuvent paraitre pour le moment dérisoire comparé aux chiffres d’affaire générés par ces entreprises, mais le nouveau Règlement général sur la Protection des Données (RGPD), adopté par le Parlement européen en 2016 et applicable à compter du 25 mai 2018, permettra d’imposer des amendes jusqu’à 4% du chiffre annuel mondial total de l’exercice précédent en cas d’ingérence de la part d’une entreprise. La menace d’une sanction pécuniaire plus importante permettra-t-elle l’adoption de politiques internes plus privacy-friendly de la part des entreprises actives sur le marché numérique ? Cela reste à voir.

Concernant le Canada, aucune inquiétude de la part du gouvernement concernant les nouvelles conditions générales de WhatsApp ne semble avoir été publiquement exposée.