Les conditions d’utilisation renouvelées de la messagerie WhatsApp posent de nouvelles questions autant du côté de l’employeur que des employés. Me Claire Poirson, avocate associée au sein du cabinet Bersay et Benoit Grunemwald, expert en cybersécurité ESET, analysent pour vous les ressorts de cette nouvelle politique de confidentialité.
Le samedi 15 mai voit l’arrivée d’une nouvelle mise à jour des conditions d’utilisation de WhatsApp. Décalée à la suite du débat que celle-ci a provoqué en février dernier, cette politique renouvelée n’est pas sans conséquences sur la vie des entreprises et de leurs employés. Certains risques peuvent apparaître, tant au niveau juridique que technique.
Le RGPD est-il strictement respecté ?
Au plan du droit, ce sont les conditions d’utilisation et la politique de confidentialité de WhatsApp qui constituent le cadre des relations juridiques entre les entreprises et leurs utilisateurs. Dans les conditions qui sont désormais proposées, WhatsApp détaille notamment les services qu’elle propose, les engagements qu’elle prend et prévoit certaines limitations de responsabilités en cas de défaillance de ses services. Dans sa nouvelle politique de confidentialité, la messagerie explique de quelle manière elle collecte les données de ses utilisateurs, quels types de données se trouvent collectées et pour quelles finalités.
La question est ici de savoir, d’une part, si les dispositions de ces conditions et de la politique de confidentialité respectent le droit applicable en Europe, en l’occurrence le RGPD ; d’autre part si ces dispositions respectent in concreto les principes auxquels elles s’engagent. C’est sur ce dernier point qu’entrent en jeu les autorités de contrôle des données personnelles au sein de chaque État membre de l’UE. Nous retrouvons ici la notion de consentement « libre et éclairé », au cœur de la doxa européenne.
De nouveaux comportements à adopter ?
Quel comportement adopter dans un tel contexte ? En entreprise comme ailleurs, le premier pourrait consister à refuser purement et simplement cette nouvelle politique de confidentialité. Dans ce cas, les conséquences sont claires. Comme l’indique WhatsApp dans son nouveau règlement, « pendant une courte période, vous pourrez recevoir des appels et des notifications, mais vous ne pourrez pas lire ou envoyer de messages depuis l'application ». C’est bien là que le bât blesse car au bout de 120 jours d’inactivité les comptes WhatsApp sont généralement supprimés… Mais cette disposition pourrait être sujette à débat juridique si l’on considère que Whatsapp force ici et donc vicie le consentement de ses utilisateurs. Ainsi, notamment si un traitement de données comporte plusieurs finalités, les personnes doivent pouvoir choisir librement celles pour lesquelles elles consentent. Sur ce point, la CNIL veille. Elle a déjà eu l’occasion de sanctionner Google à ce sujet pour la violation de ce principe (Délibération SAN-2019-001 du 21 janvier 2019)…
Dans le cas où une entreprise décidera d’adopter WhatsApp en tant que messagerie professionnelle, la confidentialité des données sera a priori respectée (WhatsApp ne stocke a priori pas ses messages sur ses serveurs, sauf exceptions listées dans sa politique). De ce point de vue, l’utilisation de la messagerie ne pose donc pas de difficulté majeure… sauf si un logiciel maveillant venait à infecter directement votre appareil ou qu’un salarié transférait par mégarde un message professionnel confidentiel à une tierce personne de son cercle privé ! Ceci nous éclaire sur deux points : d’une part, la nécessité de protéger les appareils à usage professionnel, particulièrement les smartphones et tablettes ; d’autre part, la vigilance qu’il conviendra de toujours avoir désormais vis-à-vis de l’usage de WhatsApp, messagerie avec laquelle nous avons l’habitude de multiplier les échanges privés. Dans quelle mesure serait-il ici nécessaire d’encourager l’utilisation de deux portables différents ? Cette question mérite d’être posée.
Bannir les informations sensibles sur WhatApp ?
Tout ceci plaide en faveur de la mise en place, au sein même de l’entreprise, d’une politique d’usage. Cela vaut tout particulièrement pour les PME, au sein desquelles l’application WhatsApp Business pourrait être appelée à jouer un rôle majeur en termes de liens avec les clients.
Un conseil pour les directions générales : il conviendra sans doute de bannir le partage d’informations sensibles via la messagerie WhatsApp car une entreprise ne maîtrise pas la destination des données qui se trouvent stockées sur chaque smartphone personnel de ses employés. Rappelons-nous : courant 2020, la messagerie instantanée avait commis l’erreur de laisser l’accès aux moteurs de recherche les pages contenant des liens d’invitation et des informations personnelles de groupes WhatsApp, alors que celles-ci n’auraient pas dût être indexées… Un épisode qui illustre les risques de fuites.
Cette modification des règles de confidentialité de WhatsApp signe-t-elle pour autant un changement majeur ? Pas nécessairement si l’on considère que nos données sont en permanence des proies au-dessus desquelles planent les cybercriminels. Par ailleurs, nous observons que la notion de consentement « libre et éclairé » demeure au cœur des préoccupations des autorités de régulation telles que la CNIL.
Mais le débat n’est pas inutile pour autant. Il est là pour sensibiliser un peu plus encore les entreprises de l’usage abusif qui peut être fait de leurs données confidentielles. Une acculturation qui nous semble plus que jamais nécessaire, et appelle chacun d’entre nous à ses devoirs de conformité et de vigilance !
Me Claire Poirson, avocate au Barreau de Paris
associée au Cabinet Bersay
Benoit Grunemwald
Expert cybersécurité chez ESET France
Darina SANTAMARIA - 06 61 08 42 45 - darina.j@eset-nod32.fr
À propos d'ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.