Dans quelques jours, les nouvelles conditions d’utilisation de la messagerie WhatsApp auront changé. À cette occasion, Me Claire Poirson, avocate associée au sein du cabinet BERSAY et Benoit Grunemwald, expert en cybersécurité chez ESET décortiquent pour vous les vingt pages qui structurent cette nouvelle politique de confidentialité..
Le samedi 15 mai signe la mise à jour des conditions d’utilisation de WhatsApp. Après une première tentative controversée en février dernier, WhatsApp ajuste donc la communication de sa politique de confidentialité – laquelle concerne actuellement quelque 2 milliards de personnes. Comment décrypter cette évolution tant sur le plan juridique que technique ?
Recevoir une information « éclairée » sur l’usage de ses données
Le premier point de réflexion est centré sur les changements effectifs qui interviennent. L’évolution principale concerne la possibilité qu’auront désormais les utilisateurs d’interagir avec les entreprises via WhatsApp pour leur poser des questions, afin de passer commande ou pour obtenir des informations… Quid des données qui seront alors collectées ?
Un rapide exemple permet d’illustrer ce point. Imaginons que vous soyez amené à effectuer une demande par WhatsApp à une compagnie aérienne pour une modification de votre billet pour Bora Bora. Sachez que votre conversation pourra faire l’objet d’un traitement des données destiné à afficher plus tard des publicités ciblées sur Facebook pour d’autres voyages dans des pays exotiques. Il y a là une question éminemment juridique : avez-vous reçu toutes les informations sur le traitement de vos données personnelles pour adhérer de façon libre et « éclairée », que ce soit par exemple en termes de types de données collectées ou de finalités ? Il faut savoir ici que la technique de « renvoi » à des pages d’aides où sont détaillés certains points de traitement utilisés dans la politique de confidentialité de WhatsApp a déjà été retoquée par la CNIL au nom des principes de transparence et d’information prévus aux articles, 12 et 13 du RGPD (Règlement européen général sur la protection des données). C’est ainsi que Google a été sanctionné, par délibération du 19 janvier 2019, et il n’est pas exclu que cela puisse se produire de nouveau avec WhatsApp.
Le droit applicable en France est-il respecté ?
Sur le plan du droit, ce sont donc bien les conditions d’utilisation et la politique de confidentialité de WhatsApp qui constituent le cadre des relations juridiques entre les entreprises et leurs utilisateurs. Dans les modalités qui sont désormais proposées, WhatsApp détaille notamment les services qu’elle met en place, les engagements qu’elle prend et prévoit certaines limitations de responsabilités en cas de défaillance de ses services. Dans sa nouvelle politique de confidentialité, la messagerie explique notamment de quelle manière elle collecte les données de ses utilisateurs, quels types de données se trouvent collectées et pour quelles finalités.
La question est ici de savoir si, d’une part, les dispositions de ces conditions et politiques de confidentialité respectent le droit applicable en Europe, en l’occurrence le RGPD ; d’autre part, si ces dispositions respectent in concreto les principes auxquels elles s’engagent. C’est sur ce dernier point qu’entrent en jeu les autorités de contrôle des données personnelles au sein de chaque État membre de l’UE. Pour elles, le consentement est dit « libre et éclairé » à partir du moment où l’usager a pu notamment disposer de toutes les informations nécessaires sur le traitement de ses données. Il s’agit que celui-ci soit spécifique et express, mais aussi non conditionné – notamment à l’accès de services. Dans le cas de WhatsApp, il est fort à parier que les autorités vont se pencher sur cette question du consentement.
Multiplier les bonnes pratiques
Dans un tel contexte, quelle peut être la marge d’action des utilisateurs ? Il leur reste à multiplier les bonnes pratiques, particulièrement celles qui consistent à protéger les accès de leur smartphone afin d’éviter les usurpations d’identité ou les utilisations frauduleuses. N’oubliez jamais que votre compte WhatsApp est directement lié à votre numéro de téléphone… Outre ce dernier, il est important de protéger l’accès à l’application elle-même – en activant l’authentification par empreinte digitale ou par FaceID ainsi que l’authentification deux facteurs. Poursuivez par le paramétrage de votre confidentialité vis-à-vis des autres utilisateurs de la messagerie et vérifiez régulièrement cette section dans votre application : elle permet de définir qui peut avoir accès à votre statut, à la date de votre dernière connexion ou à toute autre information vous concernant.
Une fois votre smartphone et votre application sécurisés, méfiez-vous des messages qui, sur WhatsApp notamment, vous promettent des cadeaux, des bons plans ou des fonctionnalités nouvelles : ils sont par essence suspects. N’oubliez pas non plus que le danger se situe également hors de l’application de messagerie ou hors de votre smartphone. Les cyber-délinquants vont bien souvent tenter de vous attirer sur des sites externes via des messages alléchants, vous amenant à entrer des informations confidentielles.
Dans tous les cas, gardez à l’esprit que votre téléphone contient de nombreuses informations personnelles qui ont énormément de valeur pour les cybercriminels. Ceux-ci vont tenter d’accéder à vos données et faire fi des réglementations comme des politiques en vigueur. Adoptez une hygiène informatique car ces réflexes vous permettront d’éviter le maximum d’ennuis. Commencez par protéger tous vos comptes avec une authentification multi-facteurs. Contre le nombre grandissant de menaces et d’arnaques, ne faites pas l’impasse sur l’installation d’un logiciel de sécurité sur votre smartphone Android, comme vous l’avez fait pour votre ordinateur PC ou Mac. Conservez en toutes circonstances l’esprit critique vis-à-vis des applications que vous installez, car même anodines, comme celle qui donne la météo, elles peuvent se révéler malveillantes.
En d’autres termes, demeurez proactif ! C’est l’un des secrets de votre sécurité personnelle.
Me Claire Poirson, avocate au Barreau de Paris
associée au Cabinet Bersay
Benoit Grunemwald
Expert cybersécurité chez ESET France
Darina SANTAMARIA - 06 61 08 42 45 - darina.j@eset-nod32.fr
À propos d'ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.