Village de la Justice www.village-justice.com

De quelle protection juridique bénéficient les données personnelles échangées sur les applications WhatsApp, Signal, Telegram et Olvid ? Par Patrick Lingibé, Avocat.
Parution : jeudi 11 février 2021
Adresse de l'article original :
https://www.village-justice.com/articles/quelle-protection-juridique-beneficient-les-donnees-personnelles-echangees-sur,38092.html
Reproduction interdite sans autorisation de l'auteur.

Cet article fait le point sur les applicatifs de messagerie instantanée au niveau de la protection des données échangées entre les utilisateurs. Cette problématique a été relancée avec la nouvelle politique de Facebook qui souhaite partager les données de sa filiale WhatsApp avec les autres structures du groupe.

Racheté par Facebook en 2014, WhatsApp [1] bénéficiait d’un statut à part dans l’écosystème de Mark Zuckerberg [2].

Pour respecter la promesse initialement posée de confidentialité des échanges mise en avant par WhatsApp, aucune donnée ne transitait jusqu’à Facebook, la maison mère. Mais l’application a récemment mis à jour sa politique de confidentialité des données et l’entrée en vigueur de ces nouvelles conditions d’utilisation contraint les utilisateurs à partager leurs données avec la maison mère, sous peine de voir leurs comptes supprimés.

En réalité, WhatsApp partageait déjà certaines données avec Facebook. En effet, en 2016 les conditions d’utilisation du service mentionnaient déjà la transmission de certaines informations comme le numéro de téléphone, la fréquence des messages, le statut, l’adresse IP, etc. Toutefois en 2016, WhatsApp laissait à ses utilisateurs un délai de 30 jours pour accepter ou refuser ce partage d’information. En cas de refus, WhatsApp garantissait que le choix de l’utilisateur serait respecté et qu’aucune donnée ne serait envoyée à Facebook. Pour autant, à défaut de consentement dans ce délai, l’application acceptait par défaut le partage des données. L’autorisation n’ayant, par ailleurs, jamais été demandée aux nouveaux utilisateurs.

Si à l’époque certains utilisateurs ont fait le choix de refuser de partager ces informations, ils vont devoir accepter les nouvelles conditions d’utilisation et autoriser Facebook, Instagram [3] et Messenger [4] à récupérer certaines données ou se voir refuser l’accès à l’application.

La Garante per la protezione dei dati personali (GPDP) [5], a saisi le Comité Européen de la Protection des Données (CEPD) à ce sujet.

Base légale, information de la personne concernée et transfert de données hors Union européenne : les remparts du droit communautaire avec le RGPD.

Sur le territoire communautaire, les consommateurs sont protégés par le RGPD [6].

Ce RPGD résulte du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Ce texte comporte 99 articles et a été publié au Journal Officiel de l’Union européenne le 4 mai 2016. L’article 99 de ce Règlement a prévu son entrée en vigueur le 24 mai 2016, soit le vingtième jour de sa publication, et une application sur tout le territoire communautaire qui est effective depuis le vendredi 25 mai 2018.

En tant que Règlement, il a une valeur que l’on pourrait comparer à celle d’une loi organique dans la hiérarchie des normes. Il convient de rappeler qu’en application du deuxième alinéa de l’article 288 le règlement a une portée générale et qu’il est obligatoire dans tous ses éléments et il est directement applicable dans chaque Etat membre. Qu’un Etat transpose ou pas le texte du Règlement dans son droit interne importe peu puisque les dispositions de celui-ci sont directement applicables dans l’Etat concerné et peuvent être soulevés à son profit par tout citoyen. La France a transposé ce règlement par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, les dispositions dudit Règlement restant toujours directement invocables.

En cas de collecte de données directement auprès de la personne concernée, l’article 13 du RGPD liste les informations qui doivent lui être communiquées par le responsable de traitement. Ainsi les finalités du traitement, la base légale sur laquelle il est fondé et la durée de conservation doivent notamment être connues de la personne concernée.

L’article 6 énumère les bases légales possibles. La base légale du traitement peut notamment être le consentement de la personne concernée ou les intérêts légitimes du responsable de traitement.

Dans l’hypothèse d’un traitement fondé sur le consentement, la personne concernée doit être informée de son droit de retirer son consentement à tout moment et facilement. Elle doit consentir au traitement de façon libre et éclairée (article 7 du RGPD). Si le consentement est imposé ou que le refus entraîne un préjudice pour l’utilisateur, la CNIL considère que le consentement n’a pas été donné librement (lignes directrices du G29 sur le consentement). Ici le préjudice est direct dans la mesure où, à défaut d’acceptation des nouvelles conditions d’utilisation, l’utilisateur se retrouve dans l’impossibilité d’utiliser l’application.

L’hypothèse particulière du consentement des mineurs doit également être abordée. En effet, ces derniers utilisent beaucoup plus les réseaux sociaux. Le RGPD fixe la majorité numérique à 15 ans (articles 20 et 23 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles).

Toutefois les conditions générales d’utilisation de Facebook et d’Instagram par exemple, demandent d’avoir au minimum 13 ans pour créer un compte. Concernant WhatsApp, l’âge minimum légal a également été fixé à 16 ans, en conformité avec les mesures du RGPD. Le consentement des parents est alors requis. L’article 8 du RGPD s’intéresse plus particulièrement à la question du consentement des mineurs.

Dans l’hypothèse d’un traitement fondé sur les intérêts légitimes du responsable de traitement, la personne concernée doit être informée des intérêts légitimes poursuivis. Selon la CNIL, le recours à cette base légale suppose que les intérêts poursuivis par l’organisme qui traite les données ne créent pas de déséquilibre au détriment des droits et intérêts des personnes concernées. Cette base légale n’implique qu’une simple demande d’acceptation des conditions. Le responsable de traitement peut donc refuser l’accès au service si l’utilisateur n’accepte pas les nouvelles conditions. Il serait toutefois possible de contester cette base légale en considérant que les données personnelles partagées impliquent le recueil d’un consentement éclairé de la part de chaque utilisateur.

A défaut du respect de ces conditions, le traitement est illicite.

Enfin, si le règlement européen n’interdit pas l’échange de données entre les filiales d’un même groupe, le texte impose le respect de certaines conditions. Rappelons que WhatsApp avait été mis en demeure par la CNIL de mieux respecter les règles de transmission de données à sa maison mère, Facebook [7].

Les termes de cette mise en demeure délivrée par la présidente de la CNIL sont très clairs :

« En conséquence, la société X, sise […],est mise en demeure, sous un délai de un (1) mois à compter de la notification de la présente décision et sous réserve des mesures qu’elle aurait déjà pu adopter, de :

ne pas procéder sans base légale à la transmission des données des utilisateurs vers la société Y dans le cadre de la première finalité de business intelligence ;

procéder à l’information des personnes auprès desquelles des données à caractère personnel sont collectées, dans les conditions prévues à l’article 32 de la loi du 6 janvier 1978 modifiée, notamment en faisant figurer sur le formulaire de création de compte, les mentions d’information prévues à cet article, en particulier les finalités pour lesquelles les données sont transmises à Y et les droits dont disposent les personnes concernées ;

communiquer à la Commission l’ensemble des données communiquées par X à Y pour un échantillon de mille utilisateurs situés sur le territoire français ;

justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l’issue de ce délai, si la société X s’est conformée à la présente mise en demeure, il sera considéré que la procédure est close et un courrier lui sera adressé en ce sens.

À l’inverse, s’il est constaté que la société X ne s’est pas conformée à la présente mise en demeure, un rapporteur pourra être désigné et demander à la formation restreinte de la Commission de prononcer l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée. »

Les responsables de traitement et les sous-traitants peuvent transférer des données hors de l’Union européenne (UE) et de l’Espace économique européen (EEE) à condition d’assurer un niveau de protection des données suffisant et approprié. Ils doivent encadrer ces transferts en utilisant les différents outils juridiques définis au chapitre V du RGPD.

Le RGPD a élargi la gamme d’outils juridiques permettant d’encadrer les transferts. Ces outils peuvent être utilisés par le responsable de traitement et ses sous-traitants. Afin d’assurer un niveau de protection suffisant, les organismes qui souhaitent transférer des données peuvent utiliser les outils suivants :

● la décision d’adéquation de la Commission européenne (article 45 du RGPD) prise sur la base d’un examen global de la législation en vigueur dans l’Etat, à défaut, des garanties appropriées (article 46 du RGPD) généralement constituées de décisions des autorités de contrôle.

● des clauses contractuelles types (CCT) de la Commission européenne ou des CCT adoptées par une autorité de contrôle et approuvée par la CE

● des règles internes d’entreprises (BCR)

● des clauses contractuelles spécifiques, considérées comme conformes aux modèles de clauses de la Commission européenne

● un code de conduite approuvé par l’autorité de contrôle comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées

● un mécanisme de certification approuvé contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées.

L’autorisation préalable de la CNIL n’est pas nécessaire si le transfert est fondé sur des CCT, des BCR, un code de conduite approuvé par l’autorité de contrôle ou un mécanisme de certification. L’autorisation de la CNIL est, par opposition, nécessaire lorsque le transfert est fondé sur des clauses contractuelles spécifiques.

Le chiffrement : le procédé technique de sécurisation des données.

Le RGPD conseille aux entreprises d’utiliser la pseudonymisation ou le cryptage afin de protéger leurs données (article 25). En effet, le responsable de traitement doit mettre en œuvre toutes les mesures techniques et organisationnelles appropriées pour garantir la protection des données (principe de minimisation, durée de conservation, etc.).

La pseudonymisation et la cryptographie permettent de masquer les données en remplaçant les informations identifiables. Cependant, il y a une différence : la pseudonymisation permet à toute personne ayant accès aux données de visualiser une partie des données alors que le cryptage ne permet qu’aux utilisateurs autorisés de visualiser l’ensemble des données. La pseudonymisation et le cryptage peuvent toutefois être utilisés simultanément ou séparément.

Le chiffrement est la technique utilisée par les applications de messagerie instantanée pour sécuriser les échanges. Le chiffrement de bout en bout intégral permet de crypter ainsi tous les moyens de communications (discussions privées ou en groupe, appels audio ou vidéo, etc.) ainsi que les métadonnées [8]. L’objectif est d’empêcher qu’un acteur extérieur ait accès au contenu des messages. La discussion est donc indéchiffrable sur les serveurs qui hébergent l’application. L’équipe de développeurs qui gère ce serveur n’a pas non plus accès aux données.

Si WhatsApp garantit bien un chiffrement de bout en bout pour tous les échanges, certaines données peuvent toutefois être partagées avec les autres entités de Facebook telles que le numéro de téléphone, les données de transactions ou des informations sur les échanges de l’utilisateur. Actuellement, les principales informations partagées avec Facebook sont le pseudonyme, la photo de profil utilisée, le numéro de téléphone de l’utilisateur et de tous ses contacts, les messages publiés en “ statut ”, les adresses IP [9] et les données de connexion relatives aux appareils des utilisateurs. Si Facebook ne peut donc pas accéder aux chat en raison du cryptage de bout en bout, la société peut toutefois revendre les données de ses utilisateurs.

Signal est également une application de messagerie sécurisée qui dispose d’un chiffrement très robuste et qui s’applique par défaut de tous les contenus échangés. L’ensemble des échanges est donc chiffré sans que l’utilisateur n’ait besoin d’intervenir. La messagerie propose également pour chaque discussion un numéro de sécurité unique destiné à assurer la sécurité des messages et des appels. L’application requiert cependant un numéro de téléphone ou une adresse mail. Signal propose également des options intéressantes pour la protection des données comme l’autodestruction des messages au bout de quelques secondes ou quelques minutes selon les paramètres choisis. L’application est, de plus, gérée par un organisme à but non lucratif, contrairement à WhatsApp ou Instagram. De plus, depuis le début Signal publie en toute transparence le code source [10] de ses applications.

Si WhatsApp et Signal n’ont pas le même engagement en matière de traitement des données, les deux services fonctionnent sur le même modèle. Ce sont des applications mobiles qui identifient les contacts par leur numéro de téléphone et les mettent en relation à l’aide d’un serveur central. Signal a d’ailleurs récemment été critiquée pour avoir commencé à stocker les contacts des utilisateurs de manière chiffrée sur ses serveurs.

Telegram propose également un chiffrement de bout en bout, ce qui garantit bien la confidentialité des échanges. Mais certaines fonctions peuvent être moins sécurisées que d’autres ou ne sont pas appliquées par défaut. Enfin, certaines métadonnées ne sont pas chiffrées et peuvent donc être collectées. Il est sécurisé par le protocole MTProto [11] qui assure par défaut un chiffrement serveur-client pour toutes les conversations. Toutefois, pour davantage de sécurité, l’utilisateur doit prendre l’initiative de créer des discussions secrètes. Ces discussions secrètes offrent un niveau de sécurité supplémentaire avec un cryptage client-client. Elles ne passent pas par le cloud Telegram. C’est une messagerie qui demande peu d’informations à ses utilisateurs.

Pour créer son compte, il suffit de renseigner son numéro de téléphone. Il envoie à son utilisateur alors un code unique par SMS qui lui sera demandé lors de votre première connexion. Ce dispositif permet également de récupérer facilement son compte sur d’autres appareils. Toutefois cette authentification n’est pas vraiment sécurisée. Les textos ne sont, en effet, pas chiffrés, même si Telegram vous notifie systématiquement lorsqu’un nouvel appareil se connecte à votre compte et vous permet de mettre fin à la session concernée.

S’ajoute alors une possibilité supplémentaire de sécurisation : la double authentification. A chaque connexion Telegram demandera à l’utilisateur son numéro de téléphone, le code reçu par SMS et un mot de passe. Il faut privilégier un mot de passe robuste et unique. Telegram permet également de choisir à qui s’affichent les informations de son profil : ses contacts ou personne. L’application permet également d’utiliser les technologies de déverrouillage biométriques comme Touch ID [12] ou Face ID [13]. Enfin l’application propose de programmer la suppression automatique de son compte si aucune activité n’est détectée entre 1 et 12 mois. En définitive, Telegram permet de protéger ses données mais il suppose que son utilisateur soit très proactif.

Olvid : la solution française innovante créée par des chercheurs en cryptographie.

L’application française Olvid dispose d’un protocole de chiffrement qui permet un lien direct entre les contacts sans passer par un serveur global, ce qui protège les échanges et les métadonnées. WhatsApp et Signal passent, quant à elles, par un tiers de confiance. La sécurité des échanges est renforcée par l’absence de serveur dans la mise en relation des interlocuteurs.

De plus, et à la différence de Signal, l’utilisateur n’a pas besoin de renseigner son numéro de téléphone ou son adresse mail car il n’y a pas de compte à créer, ce qui fait une donnée personnelle de moins à transmettre. Le carnet d’adresse n’est pas non plus transmis à l’application. Une validation de chaque correspondant est demandée pour que chaque utilisateur établisse son propre annuaire sécurisé. L’application requiert seulement un nom et un prénom qu’elle ne vérifie pas et stocke sur la mémoire de votre téléphone. Comme il n’y a pas de notion de compte, il suffit de supprimer l’application pour qu’il ne reste rien.

Lors de la première utilisation, le carnet d’adresse est vide. Olvid ne peut pas suggérer de personnes à ajouter car l’application n’a pas accès aux contacts du téléphone. L’utilisateur doit envoyer une invitation à chaque personne qu’il souhaite ajouter puis vérifier son authenticité avant d’échanger. Pour cela, Olvid utilise un moteur de cryptographie qui remplace l’annuaire central utilisé par WhatsApp ou Signal. Les utilisateurs doivent échanger un code PIN de quatre chiffres généré sur leur téléphone lors de la demande de contact.

Olvid est ainsi la seule application à chiffrer les métadonnées ce qui garantit l’anonymat des interlocuteurs. Il est donc impossible de remonter jusqu’à l’identité des utilisateurs. Aucun tiers ne peut les identifier, pas même le serveur. A l’inverse, WhatsApp et Signal disposent d’un annuaire central qui regroupe l’intégralité des milliards de numéros de téléphone des utilisateurs et qui joue le rôle de tiers de confiance dans la mise en relation, c’est-à-dire qu’il distribue les secrets cryptographiques entre les utilisateurs. En téléchargeant l’application, l’utilisateur autorise l’accès à son carnet d’adresse : ce qui permet ainsi aux applicatifs WhatsApp et Signal de détecter tous les contacts que cet utilisateur a enregistrés.

Or ces annuaires gigantesques représentent un énorme risque de sécurité car il est très difficile de protéger une telle infrastructure et l’identité de l’interlocuteur n’est pas garantie. En effet, pour vérifier l’identité de son interlocuteur, il faut vérifier que chacun possède bien les bons secrets cryptographiques ce qui se fait par le biais d’une longue série de caractères ou d’un QR Code [14].

Mais cette procédure est optionnelle et souvent compliquée : le QR Code nécessite d’être physiquement proche et celle des caractères est assez longue (environ 60 caractères à communiquer pour WhatsApp ou Signal). Avec Olvid, cette vérification est obligatoire et s’effectue avant de pouvoir entamer une discussion avec un interlocuteur. Les développeurs ont simplifié au maximum la procédure et il suffit que les utilisateurs se transmettent un code à 4 chiffres par téléphone, visioconférence ou en face à face. Olvid dispose toutefois d’une infrastructure de serveurs pour acheminer les messages mais le chiffrement des messages et des métadonnées empêche quiconque d’avoir accès à vos données. Le serveur n’a qu’un rôle de mise en relation.

Il faut convient de noter que cette application est certifiée CSPN [15] auprès de l’ANSSI [16] comme messagerie instantanée sécurisée.

A chacune et à chacun donc de faire le choix de l’application qui lui convient le mieux en fonction de ses gouts et de la protection qu’il souhaite donner à ses données personnelles, sachant qu’il convient de ne pas tomber dans une sorte schizophrénie, relayée par les réseaux sociaux , laquelle est le plus souvent inversement proportionnelle à l’importance que revêt en réalité lesdites données à sécuriser.

Les lectrices et lecteurs qui souhaitent comprendre les règles posées par le RGPD peuvent lire mon article "Le RGPD : qu’est ce qui change au-delà de cet acronyme ?"

Patrick Lingibé Membre du Conseil National des barreaux Ancien vice-président de la Conférence des bâtonniers de France Avocat associé Cabinet Jurisguyane Spécialiste en droit public Diplômé en droit routier Médiateur Professionnel Membre du réseau interprofessionnel Eurojuris Membre de l’Association des Juristes en Droit des Outre-Mer (AJDOM) www.jurisguyane.com

[1WhatsApp est un système de messagerie instantanée chiffrée qui a été racheté en 2014 par Facebook

[2Mark Zuckerberg est le cofondateur en 2004 du site et du réseau social Facebook

[3Instagram est un service de partage de photos et de vidéos fondés en 2010 et racheté en 2012 par Facebook

[4Messenger est un système de messagerie instantanée créé par Facebook et qui est intégré à son réseau social

[5Le GPDP est l’équivalent de la CNIL en Italie

[6Règlement Général de la Protection des Données

[8Les métadonnées sont des informations simplifiées de données

[9L’adresse IP est un numéro d’identification attribué à un appareil connecté au réseau Internet

[10Le code source est un texte qui précise les instructions d’un programme informatique dans un langage de programmation et qui permet ainsi que ce programme soit compréhensible et utilisable dans le langage humain

[11Le protocole MTProto assure par défaut un chiffrement sécurisé entre le serveur et l’utilisateur

[12Touch ID est un système de lecture d’empreinte digitale

[13Face ID est un système de lecture faciale du visage

[14Le QR Code est l’abréviation de « Quick Response Code ». C’est un code-barres en 2D qui permet de stocker des informations. Il peut être déchiffré par un logiciel de lecture approprié à partir d’un smartphone ou d’une tablette

[15CSPN : Certificat de Sécurité de Premier Niveau. La CSPN, mise en place par l’ANSSI en 2008, permet d’attester que le produit en question a subi avec succès une évaluation de sécurité par un centre d’évaluation agréé par ANSSI

[16Agence nationale de la sécurité des systèmes d’information

Comentaires: