La semaine dernière, l’introduction de nouvelles conditions d’utilisation sur WhatsApp a suscité une vive polémique parmi les utilisateurs les plus inquiets pour leurs données personnelles. Au point que l’application a été détrônée par d’autres, censément plus respectueuses de la vie privée, sur les plateformes de téléchargement.
À compter du 8 février prochain, les utilisateurs qui refusent les nouvelles conditions d’utilisation de WhatsApp ne pourront en effet plus accéder à leur compte (jusqu’à ce qu’ils changent d’avis). Mais pourquoi ce changement de politique en particulier pose-t-il question, là où nous cliquons habituellement sur « accepter » sans même prendre connaissance des nouvelles clauses ?
WhatsApp partage déjà vos données avec Facebook depuis 2016
Il faut d’abord comprendre que cette mise à jour des CGU est moins anecdotique qu’il n’y paraît. Racheté en 2014 par Facebook, WhatsApp bénéficiait jusqu’à présent d’un statut un peu à part dans l’écosystème applicatif de l’entreprise de Mark Zuckerberg. Certes, WhatsApp est devenu une propriété de Facebook, mais aucune donnée ne transitait jusque là entre les deux entités, respectant ainsi la promesse initiale de WhatsApp quant à la confidentialité des échanges.
Or, la donne a changé une première fois en 2016. À l’occasion d’une mise à jour majeure de ses conditions d’utilisation, la messagerie instantanée annonçait alors qu’elle allait partager le numéro de téléphone de ses utilisateurs avec Facebook, ainsi que d’autres métadonnées d’apparence sans importance (quel type d’appareil est utilisé, par exemple). À l’époque, WhatsApp offrait à ses utilisateurs 30 jours pour accepter ou refuser ce partage d’informations entre les deux entreprises. Dans l’éventualité d’un refus, l'application garantissait que ce choix serait respecté, et qu’aucune donnée ne serait envoyée à Facebook.
Passé ce délai de réflexion de 30 jours, le consentement des utilisateurs n’ayant pas encore donné leur avis sur la question avait été validé par défaut. Il en était alors de même pour les nouveaux utilisateurs de WhatsApp, auxquels l’application n’a plus jamais demandé d'autorisation avant de partager leurs données avec Facebook.
Qu’est-ce qui va changer le 8 février prochain ?
Il n’aura échappé à personne que Facebook cherche depuis des années à articuler ses services autour d’un socle commun. La volonté de créer un service de messagerie unique, transversal à Messenger, WhatsApp et Instagram illustre d'ailleurs ce projet.
Si elle ne semble pas œuvrer à consolider cet édifice en particulier, la révision de la politique de confidentialité de WhatsApp est motivée par la volonté d’« exploiter, fournir, améliorer, comprendre, personnaliser, soutenir et commercialiser nos services », affirme l'entreprise. Une façon plus cynique de présenter les choses voudrait que toutes les métadonnées issues d’un compte WhatsApp pourront être jetées dans le même chaudron que celles déjà collectées par Messenger, Facebook et Instagram.
L’objectif étant d’affiner toujours plus les algorithmes prédictifs de l’entreprise rendant la publicité ciblée plus pertinente. On y voit aussi une manœuvre visant à monétiser WhatsApp qui, malgré ses quelque 2,5 milliards d’utilisateurs dans le monde, ne rapporte pas encore d’argent à son propriétaire.
La nuance de ces nouvelles conditions d’utilisation vient du fait que Facebook et ses filiales se réservent désormais le droit de partager ensuite ces données avec des « entités tierces » (d’autres entreprises) lorsque WhatsApp interagit avec elles. Un processus évidemment invisible pour l’utilisateur, qui n’a à ce stade plus le moindre contrôle sur la destination de ses données personnelles.
Mais de quelles données parlons-nous exactement ? Dans le détail, il s’agit du numéro de téléphone de l’utilisateur, de celui de tous ses contacts, du nom et de la photo de profil utilisée, des messages publiés en « statuts » ainsi que l’horodatage de la dernière connexion, et de diverses données télémétriques issues des logs de l’application.
L’Europe pour l’instant épargnée par ces changements
Si les utilisateurs européens se sont bien vus proposer d’accepter les nouvelles conditions d’utilisation de WhatsApp, il est important de préciser que leur mise en œuvre diffère des autres parties du globe.
De fait, en vertu des barrières érigées par le Règlement Général pour la Protection des Données (RGPD), adopté en 2018, la nouvelle politique de confidentialité de WhatsApp ne concernera en Europe que les détenteurs d’un compte WhatsApp Business. Autrement dit : les entreprises.
Beaucoup de bruit pour rien ? Pas vraiment. Car comme nous le pointions dans un précédent article, ce changement de politique intervient quelques semaines après qu’Apple a retravaillé la façon dont sont affichées les politiques de confidentialité des applications listées sur l’App Store.
Plus claires, celles-ci obligent désormais les éditeurs à lister précisément quelles données sont collectées sur les utilisateurs, et si elles permettent ou non son identification. Un nouvel exercice, dans lequel WhatsApp (et les applications Facebook en général) ne sont pas, mais alors pas du tout à l’aise.
Et si c’était le bon moment pour changer de messagerie ?
Comme l’ont montré bien d’autres articles sur le sujet, WhatsApp collecte pas moins de 25 « points de données » sur ses utilisateurs. Si les messages et leur contenu restent chiffrés et donc illisibles par quiconque, à part leur destinataire, l’application, elle, peut savoir à qui vous envoyez des messages, depuis quel endroit, à quelle fréquence vous vous connectez, et plus encore. Pour le dire autrement : à part le contenu de vos messages, il ne reste plus grand-chose de privé sur WhatsApp.
Reconnaissons tout de même que WhatsApp fait toujours mieux que Messenger, l’autre grande messagerie estampillée Facebook, qui s’autorise à prélever pas moins de 160 (!) points de données sur ses utilisateurs. De plus, les messages de Messenger n’étant pas chiffrés, leur contenu est parfaitement lisible par quiconque est habilité à naviguer dans les bases de données de Facebook (employés, éventuels pirates).
Si, comme on l’a dit plus haut, il n’y a pas matière à s’offusquer des nouvelles politiques de confidentialité de WhatsApp, la polémique qui en a découlé a au moins eu le mérite de remettre la confidentialité des données au centre du débat public, et de créer un appel d’air vers d’autres messageries plus respectueuses de la vie privée de ses utilisateurs.
Quelles sont les messageries les plus respectueuses de la vie privée ?
Si vous avez lu notre épais dossier sur la protection des données personnelles, vous savez déjà que le meilleur moyen de préserver son intimité est de ne pas avoir de smartphone, et de limiter au maximum son utilisation d’Internet. Mais comme vous êtes en train de lire ces lignes (et moi d’écrire ces mots), on comprend bien que cela n’est pas une solution idéale en 2021.
Par chance, il existe de nombreuses applications qui placent la confidentialité des données au-dessus de tout le reste, et ce qu’il s’agisse de prise de notes, de navigation Web ou, bien entendu, de messageries.
Il nous semble important d’insister au préalable sur l’importance du chiffrement des données. Comme nous l’avons esquissé plus haut, si une messagerie ne garantit pas un chiffrement de bout en bout des échanges, les messages pourront être lus par les fournisseurs du service en question (par exemple : Messenger, Instagram, Snapchat, Viber).
La plus recommandable : Signal
Vous entendez ce nom depuis des jours, n’osant demander pourquoi tout le monde s’enthousiasme soudain pour une marque de dentifrice. Il n’y a pas de quoi rougir. Si vous ne connaissez pas Signal c'est pour une raison simple : l’application n’était populaire qu’au sein du club restreint des personnes s’intéressant de près à la protection des données sur Internet.
Mais les choses ont changé récemment. Alors que la débâcle autour des conditions d’utilisation de WhatsApp atteignait son pic, un certain Elon Musk a pris la parole sur Twitter pour conseiller à ses followers d’utiliser Signal. Depuis, l’application caracole en tête des téléchargements dans la catégorie « Social » des stores Google et Apple.
Rappelons que si la recommandation d’Elon Musk a beaucoup popularisé l’application, elle doit aussi énormément à Edward Snowden qui répète maintenant depuis plus de six ans à qui veut l'entendre tout le bien qu’il pense de Signal.
L’application aurait ainsi enregistré plus de 100 000 nouveaux utilisateurs entre le 7 et le 8 janvier dernier, rapporte l’agence de presse Reuters. Et pour cause : elle fonctionne peu ou prou de la même manière que WhatsApp.
Dotée d’une interface très claire, elle offre les mêmes fonctionnalités que sa concurrente, tout en garantissant un chiffrement complet des échanges (WhatsApp utilise d’ailleurs le même protocole de chiffrement que Signal). Ici, même les appels vocaux et vidéo sont chiffrés de bout en bout. De plus, le seul et unique point de données que collecte Signal à propos de ses utilisateurs est leur numéro de téléphone — nécessaire pour créer un compte. Aucune autre information n’est recueillie au sein de l’application.
La plus tricolore : Olvid
Dans la même veine que Signal, l’application française Olvid mérite un coup de projecteur. Lancée en 2018 par Thomas Baignères, cette messagerie se targue d’être « la plus sûre du monde » grâce à un protocole de chiffrement de bout en bout unique, garantissant non seulement la sécurité des messages mais aussi des métadonnées qui lui sont liées.
Comment ? En supprimant « l’intermédiaire » représenté par le serveur qui, dans le cas des autres applications chiffrées, fait office d’annuaire mettant en relation un expéditeur et un destinataire. Comment deux personnes rentrent-elles en contact alors ? Simplement en s’échangeant (via un autre moyen donc) un code unique à quatre chiffres qui fait office d’identifiant.
Ainsi, Olvid n’a même pas besoin de collecter le numéro de téléphone de l’utilisateur. En réalité, Olvid est à notre connaissance la seule messagerie à ne collecter absolument aucune donnée personnelle sur ses utilisateurs.
La plus problématique : Telegram
Nous nous permettons une digression pour pallier un problème de méconnaissance, ou plutôt de légende urbaine. Non, Telegram n’est pas une application de messagerie chiffrée.
Il existe bel et bien une fonctionnalité qui permet d’échanger des messages chiffrés de bout en bout sur Telegram, mais elle ne concerne que les « échanges secrets » entre deux personnes ; une option qui n’est pas activée par défaut, et qui exclut les groupes d’échange.
Dès lors que l’on discute sur un groupe Telegram, ou que l’on intervient sur un canal, les messages sont disponibles en clair sur les serveurs de Telegram. Bien sûr, l’entreprise garantit que ses serveurs sont chiffrés et sûrs. Mais les messages ne sont techniquement pas plus sécurisés que sur Messenger.
On peut toutefois se rassurer en se disant que, contrairement à Messenger, on ne retrouve pas l’une des plus grosses entreprises du monde aux manettes. De plus, les données des utilisateurs de Telegram ne sont pas monétisées (mais cela pourrait bientôt changer) et la publicité y est absente. Autant d’éléments qui peuvent faire office de pis aller si l’objectif est de quitter WhatsApp et l’écosystème Facebook à tout prix.
De là à considérer Telegram comme une messagerie « sûre » sur laquelle se replier, il y a un gouffre. Surtout en regard des autres applications citées plus haut. On trouve toutefois de l’intérêt à Telegram pour ses fonctionnalités variées, notamment dans l’administration de grands groupes de discussion.
Comment faire migrer ses amis et sa famille vers une autre application ?
Cette question taraude beaucoup d’utilisateurs, frustrés de devoir se plier aux desideratas de leurs proches qui, eux, refusent de changer de plateforme. Malheureusement, proposer de quitter WhatsApp ou Messenger à ses amis et sa famille pour des raisons de confidentialité, c’est souvent s'entendre répondre « ça ne m’intéresse pas », ou encore se voir opposer la défense tarte à la crème du « je n’ai rien à cacher de toute façon ».
D’abord, il est important de ne pas brusquer les choses. Lâcher sans crier gare qu’il faut absolument quitter WhatsApp pour des motifs de confidentialité à des membres de sa famille qui, pour certains, ne maîtrisent pas totalement l’outil informatique peut être vécu comme une injonction agressive. On vous conseillera de faire preuve de pédagogie.
Internet (Clubic y compris) ne manque pas de ressources visant à éduquer les internautes à l’importance de la protection de leurs données personnelles. Vous pouvez aussi reprendre l’exemple de l’affaire Snowden, dont les révélations concernant l’espionnage massif de la CIA n’a laissé personne de marbre et suscité une vague d’indignation.
Aux indécrottables de Messenger, demandez leur comment ils se sentent lorsque quelqu’un les observe discrètement taper un message sur leur smartphone dans les transports en commun. Gênant, n’est-ce pas ? Eh bien c’est précisément ce qu’est en mesure de faire Facebook s’il le souhaite.
Rappelez également que le modèle économique de Facebook consiste à accumuler un maximum de données à propos de ses utilisateurs pour leur vendre de la publicité ciblée. Ce n’est pas nous qui utilisons gratuitement les services de Facebook, c’est Facebook qui se sert gratuitement de nos informations pour en tirer un revenu substantiel.
Plus radical, vous pouvez également annoncer clairement votre intention de quitter WhatsApp (ou toute autre application), et indiquer à vos contacts que vous serez dorénavant joignable sur Signal/Olvid/Telegram ou autre. Bien sûr, il est possible que certains contacts ne fassent jamais la démarche de vous rejoindre sur une nouvelle messagerie. Mais, d’expérience, les personnes à qui l’ont tient le plus ne sont pas les plus difficiles à convaincre.
