WhatsApp, Facebook et nos données personnelles

Cet article est issu de la newsletter IA Comprise et reproduit ici par commodité. Recevez toutes les lettres dans votre boîte mail au fur et à mesure de leur publication en laissant votre adresse dans le cadre à droite !


Chère lectrice, cher lecteur,

Si vous faites partie des nombreux utilisateurs de WhatsApp, sans doute avez-vous reçu nombre d’invitations à rejoindre une messagerie concurrente ces derniers jours.

La raison de cet engouement soudain ? Un changement dans les conditions d’utilisation de l’application, permettant a priori à WhatsApp de partager les données de ses utilisateurs avec Facebook.

Depuis, les interrogations se succèdent :

  • Peut-on refuser ? Que se passe-t-il dans ce cas ?
  • De combien de temps dispose-t-on ?
  • Facebook pourra-t-il nous envoyer des publicités ciblées à partir de ses conversations privées sur WhatsApp ?
  • Est-on concerné si l’on n’a pas de compte Facebook ?
  • Les habitants de l’Union Européenne sont-ils vraiment épargnés ? Quid des pays « proches » comme la Suisse ?
  • Cela vaut-il la peine de changer de messagerie ? Laquelle choisir ?

Essayons d’y voir plus clair.

Un peu d’histoire

WhatsApp a été développée à partir de 2009 pour remplacer la communication par SMS. Bien que non gratuite à l’origine (1$/an), ses fonctionnalités et son confort d’utilisation l’ont rapidement rendue extrêmement populaire. Elle s’est régulièrement classée parmi les applications les plus téléchargées, enclenchant un cercle vertueux lui permettant d’attirer de nouveaux utilisateurs et de compter plusieurs centaines de millions d’utilisateurs en 2014.

C’est cette année-là, cinq ans à peine après sa création, qu’elle a été rachetée par Facebook pour la gigantesque somme de 19 milliards de dollars – soit 10% de la valeur totale de Facebook à l’époque. Aujourd’hui, l’application compte plus de 2 milliards (!) d’utilisateurs dans le monde, juste devant… Facebook Messenger et son 1,3 milliard d’utilisateurs [1].

Le 8 janvier, les utilisateurs de WhatsApp ont vu s’afficher le popup suivant (ou une de ses variations), déclenchant la vague actuelle de questions et de protestations :

« Nous ne vendrons jamais vos informations personnelles à qui que ce soit »

Une des raisons de la popularité de WhatsApp était son engagement à protéger la confidentialité des échanges de ses utilisateurs.

Dès 2009, l’un des fondateurs affirmait [2] :

« Je vais mettre les points sur les i. Nous n’avons pas vendu, ne vendons pas et ne vendrons jamais vos informations personnelles à qui que ce soit. Point à la ligne. Fin de l’histoire. J’espère que cela clarifie les choses. »

L’une des fonctionnalités clé de WhatsApp est la possibilité (automatique aujourd’hui) de chiffrer toutes les conversations à l’aide d’une clé dont seul dispose l’utilisateur. Même les ingénieurs de WhatsApp ne disposent pas de cette clé et ne peuvent pas accéder au contenu de vos échanges [3]. Dans ce contexte, l’acquisition de WhatsApp par Facebook en 2014 avait été accueillie avec une certaine crainte.

Malgré les assurances données 5 ans plus tôt et une déclaration de Mark Zuckerberg, le PDG de Facebook, indiquant qu’il ne souhaitait pas introduire de publicités dans WhatsApp [4], cette annonce avait déjà déclenché à l’époque une (modeste) migration vers des messageries concurrentes. Si WhatsApp ne vend pas ses données à Facebook, qui a construit sa fortune sur la monétisation de données personnelles pour la publicité, et que Facebook ne diffuse pas de publicités sur WhatsApp, comment compte-t-elle gagner assez d’argent pour rentabiliser ces 19 milliards ?

Les revenus issus de l’abonnement annuel étaient la principale piste évoquée. Pourtant, deux ans plus tard, WhatsApp est devenue entièrement gratuite.

Et a commencé à échanger des données avec Facebook.

WhatsApp communique avec Facebook depuis 2016

En août 2016, les utilisateurs de WhatsApp ont vu s’afficher un popup les informant de nouvelles conditions d’utilisation. Peu d’entre eux les ont probablement lues. Elles indiquaient qu’un certain nombre d’informations seraient désormais échangées avec Facebook. Par exemple, pour traiter les réclamations. Mais aussi pour « offrir de meilleures recommandations d’amis » ou « montrer des publicités plus pertinentes » sur Facebook [5].

Il était possible de refuser cet échange : après l’affichage du popup, l’utilisateur disposait de 30 jours pour décocher une option au fin fond des réglages de WhatsApp. À moins que vous n’ayez effectué cette manipulation à l’époque (ce qui est de toute façon impossible si vous avez installé WhatsApp après 2016), WhatsApp communique donc effectivement des informations vous concernant avec Facebook.

Mais comment WhatsApp peut-il transmettre vos données alors qu’elles sont chiffrées – et donc illisibles en tant que telles ?

Réponse : les métadonnées.

Métadonnées ma vie privée à Facebook ?

Les métadonnées sont une partie des données souvent mal comprises et donc négligées par le grand public.

Il s’agit littéralement des « données sur les données ». Si le texte d’un livre constitue les données, les métadonnées de ce livre pourraient être le nom de l’auteur, son nombre de pages ou encore son numéro de classification dans la bibliothèque.

Les métadonnées peuvent être une source extrêmement précieuse d’informations sur un utilisateur. Par exemple, les métadonnées d’une photo prise avec votre téléphone portable contiennent généralement des informations telles que le modèle de votre téléphone, la durée d’exposition, la date à laquelle vous avez pris la photo et même les coordonnées géographiques de votre position à ce moment-là ! Oui, il est possible de vous pister à partir des photos que vous prenez… Vous pouvez extraire les métadonnées d’une photo à l’aide d’outils comme celui-ci.

C’est d’ailleurs ainsi que des activistes ont pu reconstituer les déplacements (et parfois les identités) des attaquants à l’intérieur du Capitole à Washington le 6 janvier, à partir des métadonnées des vidéos postées sur le réseau social Parler [6].

Positions où ont été enregistrées des vidéos de l’attaque du Capitole et postées sur Parler. Contrairement aux autres réseaux sociaux, celui-ci ne supprimait pas les métadonnées des documents qu’il hébergeait… (Dhruv Mehrota / Gizmodo)

C’est ce type de données, les « données à propos de vos conversations », et non le contenu de vos conversations elles-mêmes (qui est bel et bien crypté), qui est échangé avec Facebook. La liste précise des métadonnées partagées n’est pas très claire. Elle inclut a priori : [7]

  • Votre numéro de téléphone
  • Des informations sur les appareils utilisés pour accéder à WhatsApp (modèle de téléphone, navigateur, adresse IP…)
  • Les moments auxquels vous utilisez WhatsApp
  • Et d’autres informations moins explicites comme des « données d’achat », des « informations relatives au service », des « informations sur la manière dont vous interagissez avec autrui »…

En revanche des informations telles que vos contacts ou les moments où vous interagissez avec eux ne sont a priori pas partagées – du moins pour le moment [8].

Que fait Facebook de ces données ? Il est réducteur de croire que le seul enjeu est l’exploitation des données de WhatsApp au service du réseau social (par exemple pour afficher des publicités ciblées).

Les données sont utilisées de plusieurs façons.

D’une part directement pour le compte de WhatsApp (que vous ayez un compte Facebook ou non ne change rien). On pourrait l’oublier dans le contexte de cet échange avec Facebook, mais WhatsApp pourrait tout à fait être amené à monétiser lui-même les données de ces utilisateurs à l’aide de publicités. Cela a d’ailleurs été testé début 2020, avant d’être abandonné sous le feu des critiques.

D’autre part, au service de l’écosystème Facebook. Facebook n’est pas qu’un réseau social, c’est aussi la maison-mère d’un écosystème grandissant d’applications, comme WhatsApp, Messenger, Instagram, Oculus VR, Giphy et bien d’autres [9]. Si la société parvient à vous repérer comme le même utilisateur à travers plusieurs de ses services (notamment si vous avez communiqué votre numéro de téléphone, même « à des fins de sécurisation de votre compte »… [10]), toutes vos données/métadonnées sont analysées ensemble pour mieux vous cibler sur chacun des services.

Qu’est-ce que change la mise à jour de 2021 ?

Si WhatsApp communique déjà vos informations depuis 5 ans, qu’est-ce que change cette dernière mise à jour ?

La réalité est… pas grand-chose. C’est d’ailleurs l’axe de défense de WhatsApp dans sa communication de crise [8]. Cette mise à jour semble essentiellement permettre davantage d’échanges d’informations lorsque vous interagissez avec des comptes WhatsApp gérés par des entreprises, ainsi qu’être plus explicite sur les informations déjà partagées avec Facebook.

Pour les utilisateurs situés dans des pays de l’Union Européenne (ainsi que certains autres comme la Suisse ou le Royaume Uni – voir la liste ici), régis par des lois strictes de protection de la vie privée, c’est encore plus simple : rien ne change, WhatsApp continuera d’échanger les mêmes informations que précédemment. D’ailleurs, en Europe le popup ne mentionnait pas la partie sur l’échange d’informations concernant les entreprises actives sur Facebook.

Peut-on refuser cette mise à jour ?

En pratique non, à moins de supprimer son compte. Contrairement à la mise à jour de 2016, il n’y a pas d’option pour renoncer au partage de données. Il est d’ailleurs possible qu’une des raisons de la mise à jour de 2021 soit d’inclure les gens ayant refusé le partage en 2016 – je ne suis pas parvenu à trouver d’informations claires à ce sujet, qui doit toutefois concerner une infime minorité d’utilisateurs.

La première version du popup proposait d’accepter immédiatement, ou d’attendre jusqu’au 5 février, date d’entrée en vigueur définitive des nouvelles conditions d’utilisation. À cette date le choix se résume alors à accepter ces conditions ou demander de supprimer son compte… Aux dernières nouvelles, WhatsApp a décidé de reporter cette date limite au 15 mai [11]. Ce qui ne change pas grand-chose sur le fond.

Quoi qu’il en soit, si vous avez déjà accepté les conditions lorsque le popup s’est affiché, c’est maintenant définitif.

Faut-il continuer à utiliser WhatsApp ?

C’est une question à laquelle il est difficile de répondre : chacun peut avoir une sensibilité et une balance bénéfice/risque différente sur les questions de vie privée. Les lignes ci-dessous ne reflètent donc que ma position personnelle.

Je suis de ceux qui s’inquiètent de la quantité d’informations personnelles qui est collectée et analysée par les sociétés technologiques, tout en reconnaissant la grande utilité des services proposés « en échange ».

J’utilise WhatsApp, comme bien d’autres services « gratuits », car j’estime que le service rendu dépasse le coût en « vie privée ». J’aimerais utiliser d’autres services de même qualité, fût-ce en payant, au lieu de vendre mes données – mais ce n’est bien souvent pas une possibilité.

WhatsApp bénéficie en effet largement de « l’effet réseau » : plus un outil de communication comprend d’utilisateurs, plus la valeur de cet outil est grande pour chaque utilisateur. Virtuellement toutes les personnes que je connais utilisent WhatsApp, alors qu’utiliser une autre application demanderait de la télécharger, de s’y inscrire et s’habituer, un (petit) pas que la plupart ne sont pas prêts à faire : pourquoi faire cet effort quand WhatsApp marche très bien ?

Aujourd’hui, malgré la communication avec Facebook, WhatsApp reste (encore) relativement peu intrusif en termes de vie privée ; la mise à jour actuelle ne bouscule absolument pas les choses. En revanche, il est évident que cette situation ne peut pas durer. Facebook a dépensé 19 milliards il y a 7 ans pour l’acquérir ; ce ne sont pas les données communiquées jusqu’ici qui ont permis de rentabiliser cette acquisition. Il est inévitable que le modèle entièrement gratuit + absence de publicité + exploitation limitée des données par Facebook évolue. C’est d’autant plus imminent que les marges de progression du nombre d’utilisateurs de WhatsApp sont désormais limitées : ce n’est pas un hasard si Facebook a tenté d’introduire des publicités dans WhatsApp en 2020 malgré les déclarations de Mark Zuckerberg en 2014.

Cette monétisation peut prendre plusieurs formes, mais au vu du business model et du passif de Facebook, l’option la plus probable reste une exploitation de plus en plus importante et intrusive de nos données personnelles. Cela ne se fera pas d’un coup, mais par petites touches suffisamment indolores pour ne pas susciter individuellement de panique : le confort des utilisateurs les retiendra d’aller ailleurs.

Et pourtant, à ma grande surprise, c’est bien l’une de ces petites touches qui vient de susciter une vraie prise de hauteur collective sur le sujet et l’acceptation de nombreux utilisateurs à migrer vers une autre messagerie, pour une raison simple : parce que chacun voit que les autres utilisateurs sont également prêts à migrer.

C’est une bonne nouvelle, mais la fenêtre est restreinte : dans quelques semaines, l’effet d’entraînement aura probablement disparu.

S’il faut migrer (ce que j’invite mes contacts à faire), c’est maintenant.

Où migrer ?

Reste une dernière question : vers quelle autre messagerie migrer ? Cette lettre étant particulièrement longue, je ne vous livrerai pas un comparatif détaillé, mais simplement celle que je recommande : Signal.

Et vous, avez-vous migré sur Signal ?

Elle fonctionne exactement comme WhatsApp (à quelques détails près : impossible de savoir si un contact est en ligne par exemple) ; le seul enjeu est donc d’y déplacer ses groupes et conversations.

Les raisons de cette recommandation sont, d’une part, sa (relative) popularité, d’autre part son positionnement résolument en faveur de la protection de la vie privée.

La popularité reste un critère important : toujours à cause de l’effet de réseau, migrer vers une application peu populaire fera que trop peu de contacts s’y trouveront et vous finirez par revenir sur WhatsApp. Mais c’est surtout parce que Signal a précisément été conçue en premier lieu pour protéger la protection de la vie privée de ses utilisateurs qu’elle est intéressante ; elle est recommandée pour cela aussi bien par la Commission Européenne qu’Edward Snowden.

Qu’est-ce qui empêche Signal de connaître le même sort que WhatsApp, un rachat à prix d’or suivi d’un grignotage progressif de ses principes initiaux ? Les développeurs de l’application mettent en avant deux arguments plutôt convaincants :

  • Elle est développée par une fondation à but non lucratif (financée en large part grâce à… la fortune de l’un des fondateurs de WhatsApp)
  • Son code source est libre et open source, autrement dit, disponible publiquement (et même réutilisable sous certaines conditions), ce qui atteste de l’absence de porte dérobée ou de collecte inappropriée de données.

Signal (gratuite et financée par des dons) devra certes probablement un jour se poser la question de son financement. Peut-être par la vente de services premium, peut-être par des fonds publics ou privés (comme Google a financé Mozilla, le développeur de Firefox), peut-être par des dons (Wikipedia y arrive). Mais en tout état de cause, c’est la messagerie qui offre aujourd’hui les meilleures garanties de long terme en matière de protection des données personnelles.

Si vous avez apprécié cette lettre, je vous invite donc à télécharger, utiliser et inviter vos contacts à utiliser Signal !

À la prochaine,

Erwan

Correction du 23/01 : Contrairement à ce que j’avais indiqué, Signal permet bien de connaître l’heure à laquelle un message a été lu.
[1] https://www.statista.com/statistics/258749/most-popular-global-mobile-messenger-apps/
[2] https://blog.whatsapp.com/just-wanted-to-say-a-few-things
[3] Cette sécurité n’est pas sans limite : le code source de WhatsApp n’est pas public, donc il n’est pas possible de vérifier sans ambiguïté cette information. Par ailleurs, des hackers sont déjà parvenus à introduire un logiciel espion pour accéder aux conversations de certains utilisateurs.
Source : https://www.ndtv.com/india-news/whatsapp-confirms-to-ndtv-it-informed-several-indian-users-this-week-that-they-were-attacked-by-isra-2125085
[4] https://time.com/8642/facebook-to-buy-whatsapp-for-19-billion/
[5] https://blog.whatsapp.com/looking-ahead-for-whats-app
[6] https://gizmodo.com/parler-users-breached-deep-inside-u-s-capitol-building-1846042905
[7] https://faq.whatsapp.com/general/security-and-privacy/what-information-does-whatsapp-share-with-the-facebook-companies/
https://www.whatsapp.com/legal/privacy-policy?eea=0
[8] https://en.wikipedia.org/wiki/List_of_mergers_and_acquisitions_by_Facebook
[9] https://faq.whatsapp.com/general/security-and-privacy/answering-your-questions-about-whatsapps-privacy-policy
[10] https://www.facebook.com/help/458801388097062
« Keep in mind, mobile phone numbers added to other places on Facebook and Facebook Company Products (example: Marketplace, your Facebook profile) may be used for other purposes including suggesting friends or providing ads. »
[11] https://blog.whatsapp.com/giving-more-time-for-our-recent-update


Inscrivez-vous gratuitement pour ne rater aucune lettre !


Laisser un commentaire

Abonnez-moi à la newsletter