Conclusions en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

Rapport des conclusions en vertu de la LPRPDE no 2013-001

Rapport de conclusions
Enquête sur les pratiques de traitement des renseignements personnels de WhatsApp Inc.

Le 15 janvier 2013


Plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi »)

1.  Le 26 janvier 2012, le Commissariat à la protection de la vie privée du Canada a déposé une plainte contre la société californienne WhatsApp Inc. (« WhatsApp »), aux termes du paragraphe 11(2) de la Loi, car il avait des motifs raisonnables de croire que la société recueillait, utilisait, communiquait et conservait des renseignements personnels de façon non conforme à certaines dispositions de l'annexe 1 de la Loi.

2.  L'enquête a été menée en collaboration avec l'autorité néerlandaise de protection des données (College bescherming persoonsgegevens) et portait principalement sur l'atteinte alléguée à la vie privée concernant le consentement, la limitation de la collecte, la limitation de l'utilisation et de la conservation, et les mesures de sécurité. L'enquête se limitait aux problèmes liés à la protection de la vie privée qui ont été relevés entre le 26 janvier 2012 et le 30 novembre 2012.

3.  La société WhatsApp a été informée de la plainte le 16 février 2012, et elle a pleinement collaboré à notre enquête.

4.  Le Commissariat a reçu des observations de WhatsApp du 22 mars 2012 jusqu'au 4 janvier 2013. Le 15 octobre 2012, en se fondant sur les résultats de son enquête, le Commissariat a remis son rapport d'enquête préliminaire à WhatsApp (« rapport préliminaire »). Dans ce rapport, il adressait des recommandations à WhatsApp pour qu'elle assume les obligations que lui impose la Loi à l'égard des questions sur lesquelles le Commissariat avait enquêté. Le présent rapport de conclusions rend compte de ces recommandations et de la réponse de WhatsApp.

Introduction

5.  WhatsApp Inc. possède et exploite « WhatsApp Messenger » (ci-après « l'application »), application mobile de messagerie multiplateforme qui permet aux utilisateurs d'échanger des messages sur leurs appareils mobiles par Internet plutôt que par le service de messages courts (SMS). L'application est disponible sur divers appareils et plateformes mobiles, notamment le iPhone d'Apple, le BlackBerry de Research in Motion et Android de Google. En plus de la messagerie de base, l'application permet aux utilisateurs d'envoyer et de recevoir des images ainsi que des messages vidéo et audio.

6.  WhatsApp est une société américaine, qui est enregistrée en Californie et qui y a son siège. Elle offre ses services au Canada et en fait activement la promotion. Au moment où l'enquête a été entreprise, l'application faisait partie des cinq applications les plus vendues dans le monde, et elle était couramment utilisée au Canada. Selon certaines estimations, l'application faciliterait la transmission de plus d'un milliard de messages par jour à l'échelle mondiale.

7.  Au début de notre enquête, un abonnement pour utiliser l'application coûtait 0,99 $. L'application fonctionne sans publicité, et les utilisateurs peuvent envoyer et recevoir des messages gratuitement, mais il y a des frais de transmission des données par le réseau. WhatsApp affirme ne pas vendre actuellement de données de marketing ni communiquer de renseignements personnels à des tiers. L'expression « renseignement personnel » s'entend de tout renseignement concernant un individu identifiable, à l'exclusion du nom et du titre d'un employé d'une organisation et des adresse et numéro de téléphone de son lieu de travail.

Inscription et création d'un compte

Question

8.  Après avoir examiné l'application du point de vue technique, le Commissariat a déposé une plainte concernant le processus d'inscription au service de WhatsApp afin de mener une enquête pour savoir si ce processus rendait possible l'accès non autorisé à un compte d'utilisateur, contrairement à ce que prévoit le principe 4.7 de l'annexe 1 de la Loi. Plus précisément, le Commissariat voulait déterminer si un compte d'utilisateur de WhatsApp pouvait être utilisé avant que le processus d'authentification de l'utilisateur soit achevé, auquel cas un tiers aurait pu créer et contrôler des comptes associés à des numéros de téléphone qui ne lui appartiennent pas.

Résumé de l'enquête

9.  Les gens peuvent télécharger le service de messagerie de WhatsApp dans diverses cyberboutiques. Dans certains cas, l'application est préinstallée dans le téléphone par un exploitant de réseau ou un fabricant d'appareils.

10.  Une fois que l'application a été téléchargée sur l'appareil mobile d'une personne, celle-ci doit s'inscrire auprès de WhatsApp en utilisant son appareil.

11.  Au cours du processus d'inscription, WhatsApp invite les gens à lire et à accepter ses conditions d'utilisation et sa politique de confidentialité qui s'affichent dans une fenêtre en incrustation pendant l'inscription, et on peut aussi les consulter en ligne sur le site de WhatsApp.

12.  Après avoir lu et accepté les conditions d'utilisation de WhatsApp, l'utilisateur doit indiquer dans quel pays il réside et fournir son numéro de cellulaire. Dans certains cas, l'application peut aussi demander à la personne qui s'inscrit d'indiquer son nom de notification préféré (c.-à-d. le nom que l'utilisateur veut voir apparaître dans les messages qu'il envoie).

13.  Selon WhatsApp, dès que la personne a fourni son indicatif de pays et son numéro de cellulaire, l'application recueille les renseignements suivants à partir de son appareil mobile : identifiants de l'appareil, numéro d'identité de l'abonné mobile, indicatif de pays de l'appareil mobile et code de réseau mobile.

14.  WhatsApp utilise ces renseignements pour envoyer à la personne qui s'est inscrite une confirmation d'ouverture de compte au moyen d'un SMS standard. À partir de la réponse au message, WhatsApp vérifie que les renseignements personnels fournis par l'utilisateur au cours du processus d'inscription correspondent aux renseignements associés à l'appareil mobile. Après la confirmation, l'utilisateur est inscrit et son compte est activé. L'utilisateur peut alors commencer à échanger des messages avec d'autres utilisateurs de WhatsApp partout dans le monde.

15.  Malgré les procédures de vérification décrites ci-dessus, on a signalé au début de 2011, dans divers examens techniques, que le processus d'inscription à WhatsApp n'empêchait pas l'utilisation de l'application même lorsque l'utilisateur n'avait pas répondu au message de confirmation de l'ouverture du compte. Autrement dit, même lorsque la personne inscrite ne confirmait pas son identité, l'application vérifiait l'appareil enregistré et permettait la transmission de messages à cet appareil.

16.  On a signalé en outre que les messages de confirmation de l'ouverture de compte de WhatsApp étaient envoyés au moyen de ports ordinaires pour le trafic Web et, semble-t-il, sans chiffrement ni mesures de sécurité. En l'absence de mesures de sécurité adéquates, les messages de confirmation et les renseignements personnels qui y sont joints risquent d'être interceptés. Une fois intercepté, un numéro de confirmation peut être utilisé pour lire et recevoir les messages d'un utilisateur ou tout autre renseignement personnel envoyé au numéro programmé (comme on le verra plus loin).

Application de la Loi

17.  Pour rendre une décision sur cette question, nous avons appliqué les principes 4.7 et 4.7.1 de l'annexe 1 de la Loi. Selon le principe 4.7, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.1 précise que les mesures de sécurité d'une organisation doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées.

18.  À notre avis, les identifiants de l'appareil d'une personne inscrite, le numéro d'identité de l'abonné mobile, l'indicatif de pays de l'appareil mobile et le code de réseau mobile constituent des renseignements personnels au sens de la Loi, puisque ces renseignements, seuls ou en association avec d'autres renseignements, pourraient permettre d'identifier une personne.

19.  WhatsApp dit avoir décelé les problèmes liés à l'inscription en mai 2011. Après s'être rendu compte du risque d'atteinte à la sécurité lors de l'inscription, et avant que nous ayons commencé notre enquête, WhatsApp a pris des mesures pour régler le problème.

20.  Pour vérifier si les failles liées à l'inscription qui avaient été rendues publiques existaient bel et bien, et pour confirmer que les mesures correctives prises par WhatsApp étaient suffisantes pour garantir la conformité à la Loi, des tests sur mesure ont été réalisés sur le processus d'inscription de WhatsApp. Les résultats des tests nous ont convaincus que les problèmes liés au processus d'inscription au service mobile de WhatsApp avaient été résolus.

Conclusion

21.  Compte tenu des résultats de nos tests et du fait que WhatsApp a confirmé qu'il n'y a plus, à sa connaissance, de problèmes liés à la sécurité du processus d'inscription, nous estimons que les préoccupations liées au processus d'inscription de WhatsApp sont non fondées.

Intégration du carnet d'adresses d'un utilisateur

Question

22.  En se fondant sur un examen technique de l'application, le Commissariat a déposé une plainte afin de mener une enquête pour savoir si WhatsApp recueillait plus de renseignements personnels que nécessaire pour permettre à ses utilisateurs d'envoyer et de recevoir des messages, contrairement à ce que prévoit le principe 4.4 de l'annexe 1 de la Loi. Le Commissariat a aussi cherché à déterminer si WhatsApp exigeait comme condition d'utilisation le téléchargement de la totalité du carnet d'adresses ou de la liste de contacts de l'utilisateur – plutôt que de permettre l'utilisation des coordonnées associées uniquement aux personnes avec lesquelles l'utilisateur choisit de communiquer –, contrairement à ce que prévoit le principe 4.3.3 de l'annexe 1 de la Loi.

Résumé de l'enquête

23.  Le service de messagerie de WhatsApp est un système de messagerie instantanée qui peut être utilisé sur les appareils mobiles, qu'il s'agisse des téléphones BlackBerry, iPhone, Android ou de ceux qui utilisent Windows. Par exemple, les utilisateurs du BlackBerry peuvent envoyer des messages aux utilisateurs d'Android et du iPhone et vice versa, ce que ne permettent généralement pas les systèmes de messagerie brevetés intégrés aux téléphones par les fabricants d'appareils mobiles. Cependant, pour envoyer et recevoir des messages en utilisant cette application, il faut que l'expéditeur et le destinataire d'un message aient installé l'application sur leur appareil et se soient inscrits au service.

24.  Pour faciliter la communication entre les utilisateurs de l'application, WhatsApp a recours au carnet d'adresses de l'utilisateur pour enrichir la liste de « tous ses contacts » sur WhatsApp. Après qu'un utilisateur a consenti à l'utilisation de son carnet d'adresses, les coordonnées enregistrées dans son appareil mobile sont transmises régulièrement aux serveurs de WhatsApp pour faciliter l'identification d'autres utilisateurs de l'application.

25.  Selon WhatsApp, l'application est conçue pour télécharger sur ses serveurs le carnet d'adresses du cellulaire de l'utilisateur jusqu'à deux fois par jour, ou au moment où l'utilisateur rafraîchit sa liste de contacts. WhatsApp soutient que les renseignements personnels recueillis pendant le processus de recherche des contacts se limitent aux numéros de cellulaire et qu'elle ne recueille pas les noms, adresses de courriel et autres renseignements stockés dans le carnet d'adresses d'un utilisateur. L'association entre les noms et les numéros des contacts se fait uniquement sur l'appareil de l'utilisateur, et non dans le cadre d'un quelconque appariement de données effectué par WhatsApp.

26.  Une fois que l'utilisateur a consenti à l'utilisation des coordonnées stockées dans son appareil en vue de la recherche de contacts, les numéros de cellulaire de son carnet d'adresses sont transférés en toute sécurité aux serveurs de WhatsApp au moyen d'un protocole sécurisé de cryptage (SSL)/protocole de sécurité de la couche transport (TLS) ou chiffrement SSL/TLS.

27.  Dès qu'un numéro de contact a été téléchargé, les serveurs d'entreprise de WhatsApp le classe dans la catégorie « réseau » (c.-à-d. inscrits auprès de WhatsApp) ou « hors réseau ». Il n'est possible d'utiliser le service de WhatsApp que pour communiquer avec les numéros « réseau ». Un numéro « hors réseau » ne sera associé à un utilisateur de WhatsApp qu'une fois que l'application aura été installée sur l'appareil ayant ce numéro et que la personne se sera inscrite au service.

28.  Selon WhatsApp, les numéros « réseau » sont mémorisés en tant que valeurs originales (c.-à-d. en texte clair) sur ses serveurs. Les numéros « hors réseau » sont mémorisés sous forme de valeurs unidirectionnelles, irréversiblement hachées. WhatsApp traite les numéros en plusieurs étapes, la plus importante étant une fonction de hachage « MD5 ». Le numéro de téléphone et une valeur de cryptage fixe servent de données d'entrée pour la fonction de hachage, et la donnée de sortie est tronquée à 53 bits et combinée à l'indicatif de pays du numéro. Le résultat, une valeur de 64 bits, est stocké dans des tables de données sur les serveurs de WhatsApp. Selon WhatsApp, cette procédure est conçue pour dépersonnaliser les numéros hors réseau (c.-à-d. les numéros de cellulaire des non-utilisateurs).

Application de la Loi

29.  Pour rendre une décision sur cette question, nous avons appliqué les principes 4.3.3 et 4.4.1 de l'annexe 1 de la Loi, et le paragraphe 5(3) de la Loi. Le principe 4.4.1 interdit aux organisations de recueillir des renseignements personnels de façon arbitraire. En vertu de la Loi, la collecte de renseignements personnels doit être limitée à ce qui est nécessaire pour les fins déterminées.

30.  Selon le principe 4.3.3, une organisation ne peut pas, pour le motif qu'elle fournit un bien ou un service, exiger d'une personne qu'elle consente à la collecte, à l'utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées.

31.  Le paragraphe 5(3) de la Loi stipule qu'une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

32.  Au début de notre enquête, le paragraphe 3B des conditions d'utilisation de WhatsApp fournissait l'information suivante aux utilisateurs à propos de la collecte et de l'intégration des renseignements liés aux contacts :

[Traduction]

Pour avoir accès aux fonctions du service et les utiliser, vous reconnaissez et convenez que vous devrez fournir votre numéro de cellulaire à WhatsApp. Vous reconnaissez et convenez expressément que, pour fournir le service, WhatsApp peut accéder régulièrement à la liste de contacts ou au carnet d'adresses de votre appareil mobile et enregistrer les numéros de cellulaire des autres utilisateurs du service [...].

Pour que le service puisse être offert et que vous puissiez l'utiliser, vous consentez explicitement par la présente à ce que WhatsApp accède à votre liste de contacts ou à votre carnet d'adresses pour mémoriser les numéros de cellulaire. Nous ne recueillons pas les noms, les adresses ni les adresses de courriel, seulement les numéros de cellulaire.

33.  Selon WhatsApp, si un utilisateur refuse de consentir au téléchargement ou à l'intégration des renseignements contenus dans son carnet d'adresses, l'application peut continuer de fonctionner, mais moins bien ou de manière limitée. Les utilisateurs ne peuvent pas envoyer de messages aux personnes de leur choix, ni en recevoir, en entrant manuellement les coordonnées d'un contact pris isolément ou des contacts proposés.

34.  Au cours de l'enquête, des tests sur mesure ont été réalisés sur le processus de recherche des contacts de l'application. Les résultats des tests nous ont permis de confirmer que les renseignements personnels recueillis au cours de ce processus se limitent aux numéros de cellulaire.

Recommandations et conclusions

35.  Selon le principe 4.4 de l'annexe 1 de la Loi, l'organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées. Le principe 4.5.3 stipule que l'on devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n'a plus besoin aux fins précisées.

36.  Même si l'information recueillie par WhatsApp durant le processus de recherche des contacts est limitée, les utilisateurs devraient pouvoir ajouter manuellement des contacts et en faire la gestion, au lieu d'être obligés de fournir la totalité de leur carnet d'adresses pour l'identification des autres utilisateurs de l'application. Au moment où nous avons entrepris l'enquête, WhatsApp imposait aux utilisateurs, comme condition d'utilisation, qu'ils consentent à la collecte et à l'utilisation de tous les numéros de téléphone figurant dans leur carnet d'adresses, plutôt que de permettre à l'abonné d'utiliser le numéro de téléphone individuel de la personne avec laquelle il veut communiquer.

37.  Par ailleurs, puisque WhatsApp n'a pas besoin des numéros de cellulaire des non-utilisateurs pour que l'application fonctionne, nous avons recommandé dans notre rapport préliminaire que ces numéros soient détruits immédiatement après avoir été identifiés et classés dans la catégorie des numéros « hors réseau ». Bien que les numéros des non-utilisateurs puissent être recueillis avec le consentement de l'utilisateur dans le cadre du processus de recherche des contacts, WhatsApp ne devrait pas les conserver.

38.  WhatsApp a plutôt mis en place une procédure pour dépersonnaliser les numéros hors réseau. Nous aurions préféré qu'ils soient supprimés mais, selon WhatsApp, la collecte et la conservation des numéros réseau et hors réseau sont nécessaires pour faciliter le fonctionnement de l'application.

39.  Pour dépersonnaliser les numéros hors réseau, WhatsApp a recours à une technique cryptographique de hachage qui, à son avis, fait en sorte que la valeur originale des numéros hors réseau soit difficile à déterminer. Selon WhatsApp, ce processus de hachage empêche l'identification des non-utilisateurs, offrant ainsi aux abonnés au service un moyen efficace de trouver de nouveaux contacts tout en protégeant les numéros de cellulaire des non-utilisateurs.

40.  Au cours de l'enquête, nous avons examiné les organigrammes techniques et les descriptions fonctionnelles se rapportant au processus de dépersonnalisation employé par WhatsApp pour les numéros hors réseau. Nous avons également discuté avec un membre de l'équipe d'ingénierie de WhatsApp afin de mieux comprendre la logique sur laquelle repose le processus de dépersonnalisation de la société.

41.  En nous fondant sur l'examen du processus mentionné ci-dessus, nous avons conclu que le traitement des numéros hors réseau par WhatsApp ne constituait pas une forme efficace de dépersonnalisation. Les renseignements ne sont rendus réellement anonymes que lorsqu'ils ne peuvent jamais être associés à une personne, directement ou indirectement. À notre avis, l'utilisation par WhatsApp de tous les chiffres d'un numéro hors réseau, combinée à une valeur de cryptage fixe pour la fonction de hachage, ne se traduit pas réellement par l'anonymisation des numéros hors réseau. En effet, le numéro peut être récupéré avec un peu d'effort s'il y a une atteinte à la sécurité de la base de données des numéros hors réseau et de la valeur de cryptage fixe. Des programmes d'essai simples, créés par nos experts techniques, ont montré que les numéros de téléphone pouvaient être récupérés, une fois que le cryptage est connu, en moins de trois minutes à l'aide d'un ordinateur de bureau standard de faible puissance. Le fait que les numéros de téléphone puissent être récupérés – bien qu'il faille y mettre un certain effort et qu'il doive y avoir une atteinte à la sécurité des données – signifie que les renseignements stockés ne sont pas véritablement anonymes.

42.  De surcroît, nous avons constaté qu'en soumettant de nouveau le même numéro de téléphone au processus, on obtient toujours la même valeur, alors la société pourrait adopter une pratique (ou être obligée de le faire) en vue de retraiter un numéro de téléphone et de le trouver dans ses bases de données.

43.  Bien que WhatsApp ait affirmé que sa procédure de traitement entraîne un certain chevauchement dans les tentatives pour récupérer les numéros hors réseau (c.-à-d. des « collisions intentionnelles »), de sorte qu'il est possible que de multiples numéros produisent les mêmes résultats de hachage (ce qui procure une certaine protection des renseignements personnels des non-utilisateurs), la faible quantité de valeurs de chevauchement ne fournit pas, à notre avis, une forme suffisamment pratique d'anonymisation.

44.  Si les renseignements personnels recueillis par WhatsApp au cours du processus de recherche des contacts se limitent à ce qui est nécessaire à des fins légitimes, comme l'indiquent ses conditions d'utilisation, la conservation des numéros hors réseau par la société n'est quand même pas nécessaire selon nous et pourrait donner lieu à des utilisations inadéquates ou non voulus des numéros de téléphone des non-utilisateurs.

45.  Compte tenu de ce qui précède, et attendu que les numéros hors réseau sont conservés plus longtemps que nécessaire aux fins de la recherche de contacts, nous estimons que les préoccupations concernant la conservation des numéros des non-utilisateurs sont fondées.

46.  Nonobstant ce qui précède, par suite des recommandations formulées dans notre rapport préliminaire, WhatsApp offre maintenant aux utilisateurs du iPhone la possibilité d'ajouter manuellement des contacts, et d'esquiver ainsi le processus de recherche des contacts de l'application. Nos essais ont confirmé que cette fonctionnalité est maintenant intégrée à la plus récente application iOS (version 2.8.7) d'Apple. WhatsApp affirme que la même fonctionnalité sera intégrée aux autres systèmes d'exploitation prévus dans son plan de mise en œuvre, mais la société n'a pu nous indiquer une date d'engagement ferme pour la mise en œuvre.

Communication systématique des messages de statut

Question

47.  En se fondant sur un examen technique de l'application, le Commissariat a déposé une plainte afin de mener une enquête pour savoir si WhatsApp omettait d'informer les utilisateurs et d'obtenir leur consentement avant de communiquer des renseignements personnels les concernant, contrairement à ce que prévoit le principe 4.3 de l'annexe 1 de la Loi. Plus précisément, le Commissariat a cherché à déterminer si WhatsApp diffusait les « mises à jour du statut » de ses utilisateurs à des personnes que les utilisateurs ne connaissent peut-être pas (ou auxquelles ils ne souhaitent pas communiquer des renseignements personnels), sans qu'ils le sachent et sans leur consentement.

Résumé de l'enquête

48.  WhatsApp permet à ses utilisateurs de mettre à jour leur statut (p. ex. une brève expression de l'état d'esprit d'un utilisateur, de son opinion, l'indication de l'endroit où il se trouve) puis de communiquer ces mises à jour. Pour entrer son statut, l'utilisateur doit ouvrir l'onglet « Status » de l'application et y inscrire un message personnalisé ou sélectionner un ou plusieurs des paramètres par défaut du statut. Les messages courants comprennent « available » (disponible), « busy » (occupé), « at school » (à l'école), « at work » (au travail), « sleeping » (en train de dormir), « in a meeting » (en réunion) et « urgent calls only » (appels urgents seulement).

49.  La longueur des messages de statut personnalisés est limitée à 139 caractères. Le champ du statut d'un utilisateur ne peut être laissé en blanc (sauf pour les utilisateurs du iPhone de Apple), mais l'utilisateur peut y entrer des caractères choisis au hasard, des signes de ponctuation ou des illustrations graphiques (c.-à-d. ce qu'on appelle des émoticônes), de manière à ce que le message soit dépourvu de signification. Une fois que l'utilisateur a entré son message de statut, il est invité à l'enregistrer ou à annuler l'entrée.

50.  Une fois enregistré, le message de statut est prêt à être diffusé. À l'exception des conditions juridiques associées aux messages de statut des utilisateurs, telles qu'elles sont indiquées dans les conditions d'utilisation et la politique de confidentialité de WhatsApp, il n'y a pas d'autres avis ni instructions donnés aux utilisateurs avant la diffusion du message de statut.

51.  Contrairement à certaines plateformes de réseautage social qui permettent aux utilisateurs de limiter la diffusion des messages de statut à certaines personnes, les messages de statut communiqués à l'aide du service de messagerie de WhatsApp sont, à dessein, diffusés à tous les utilisateurs de WhatsApp qui ont, dans leur liste de contacts, le numéro de téléphone de l'utilisateur dont le message est diffusé. Cela signifie qu'un expéditeur ne connaît pas nécessairement l'identité de tous les utilisateurs de l'application qui peuvent recevoir ou surveiller ses messages de statut. Toute personne, que ses intentions soient amicales ou malveillantes, peut surveiller le statut d'un utilisateur, aussi longtemps que cette personne a le numéro de téléphone de l'expéditeur du message.

52.  Au début de notre enquête, WhatsApp expliquait en détail aux utilisateurs les conditions liées aux messages de statut. La société indiquait dans ses conditions d'utilisation et sa politique de confidentialité que les messages de statut communiqués à tous les utilisateurs n'étaient pas confidentiels :

[Traduction]

Le service de WhatsApp permet la diffusion de messages de statut et d'autres communications émanant de vous et d'autres utilisateurs.

Vous comprenez que WhatsApp ne garantit pas la confidentialité de ces messages de statut d'utilisateurs, qu'ils soient publiés ou non.

Vous seul êtes responsable des messages de statut affichés et des conséquences de leur affichage.

Le contenu des messages de statut affichés sur les sites de WhatsApp peut être retransmis par Internet et d'autres moyens de communication, et peut être vu par le grand public.

53.  Selon WhatsApp, les statuts sont rafraîchis régulièrement durant la journée. Lorsqu'un utilisateur rafraîchit manuellement sa liste de contacts, le statut est également mis à jour pour cette liste spécifique de numéros réseau.

54.  Les messages de statut ne sont pas communiqués aux personnes qui sont bloquées par l'expéditeur (c.-à-d. les personnes qui ont été ajoutées à sa liste des « contacts bloqués »).

55.  En plus des mises à jour faites par l'utilisateur, WhatsApp peut aussi transmettre un avis de « dernière activité » aux personnes figurant sur la liste des numéros réseau d'un abonné. La « dernière activité » indique approximativement à quel moment l'utilisateur s'est servi de l'application la dernière fois ou l'a activée d'une quelque autre façon. Contrairement à la diffusion des messages de statut, la diffusion ou la publication de la dernière activité peut être limitée grâce aux paramètres de profil de l'utilisateur.

Application de la Loi

56.  Pour rendre une décision sur cette question, nous avons appliqué les principes 4.3, 4.3.2, 4.3.4 et 4.3.5 de l'annexe 1 de la Loi. Aux termes du principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Le principe 4.3.2 précise que, pour que le consentement soit valable, les fins auxquelles les renseignements seront utilisés doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.

57.  Le principe 4.3.4 traite de la forme du consentement que l'organisation doit chercher à obtenir avant la collecte, l'utilisation ou la communication des renseignements personnels. La forme du consentement pouvant varier, le principe 4.3.4 impose aux organisations de tenir compte de la sensibilité des renseignements en question. Le principe 4.3.5 indique que, dans l'obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes. Bien que certains renseignements soient presque toujours considérés comme sensibles, tout renseignement peut l'être selon le contexte.

58.  Lors de l'enquête, nous avons d'abord examiné si les messages de statut constituent des « renseignements personnels » aux termes de la Loi. Comme il a été dit précédemment, le paragraphe 2(1) de la Loi définit les renseignements personnels comme tout renseignement concernant un individu identifiable, à l'exclusion du nom et du titre d'un employé d'une organisation et des adresse et numéro de téléphone de son lieu de travail.

59.  Conformément à la jurisprudence, le Commissariat estime que les renseignements visent un « individu identifiable » lorsqu'il y a une forte probabilité qu'une personne puisse être identifiée par l'utilisation de ces renseignements, seuls ou en association avec d'autres renseignements. Même les renseignements subjectifs concernant une personne peuvent être des renseignements personnels, que cette information soit ou non jugée exacte.

60.  Nous notons en outre que, au sens du règlement d'application de la Loi, les renseignements sont encore des renseignements personnels même s'il s'agit de renseignements auxquels le public a accès (bien que ces renseignements puissent être exemptés des exigences applicables en matière de consentement).

61.  Conformément à la définition de « renseignement personnel » ci-dessus, nous estimons que les renseignements contenus dans le message de statut d'un utilisateur peuvent constituer des renseignements personnels. Il y a d'innombrables cas où un utilisateur peut décider de communiquer des renseignements qui le concernent – qu'il s'agisse de l'endroit où il se trouve, de son opinion, de l'état d'une relation, ou de quelque autre forme d'expression de soi – et où de tels renseignements, seuls ou en association avec d'autres données, pourraient permettre de l'identifier.

62.  Si on accepte que les messages de statut des utilisateurs puissent constituer des renseignements personnels, la Loi exige que WhatsApp informe les utilisateurs et obtienne leur consentement avant tout collecte, utilisation ou communication de ces renseignements. Le consentement doit être valable et, qu'il soit donné implicitement ou expressément, il doit tenir compte de la sensibilité éventuelle des renseignements personnels en question et des attentes raisonnables de la personne concernée.

63.  Dans le cas de la présente plainte, notre principale préoccupation concerne l'incapacité de l'utilisateur à limiter et à contrôler la diffusion de ses messages de statut. Nous reconnaissons qu'un utilisateur qui fournit des renseignements personnels dans son message de statut choisit de communiquer ou de diffuser ces renseignements à d'autres. Par contre, la diffusion illimitée, ou à des gens inconnus, de cette information ne correspond pas, à notre avis, aux attentes raisonnables de l'utilisateur de l'application.

64.  Compte tenu de la nature de l'application – une plateforme de messagerie pair à pair, où les utilisateurs ne communiquent qu'avec ceux qui figurent dans leur carnet d'adresses privé –, nous avons du mal à croire qu'un utilisateur consentirait à la communication ou à la diffusion de ses renseignements personnels à d'autres personnes que ses contacts ou à des utilisateurs de l'application qu'il ne connaît pas. Même si l'application permet d'empêcher la diffusion des messages de statut aux personnes figurant sur la liste des contacts bloqués de l'utilisateur, cette liste ne peut contenir que des personnes connues de l'utilisateur.

65.  À la différence des services de microblogage, dont la fonction essentielle est de permettre aux utilisateurs et aux non-utilisateurs de lire ou de recevoir des messages textuels grâce à divers services et plateformes, le système de messagerie mobile de WhatsApp (telle que la société le décrit elle-même) est d'abord et avant tout conçu pour remplacer le SMS. Il permet la communication instantanée de messages à des personnes précises, identifiées par l'utilisateur de l'application. Bien que l'application puisse aussi offrir aux utilisateurs la possibilité de communiquer plus largement leurs messages de statut et d'autres formes d'expression personnelle, elle le fait dans le cadre des communications entre pairs, de sorte que l'on a l'impression que ces messages ne sont communiqués qu'aux personnes que l'utilisateur connaît.

66.  Comme nous l'expliquions au paragraphe 51, WhatsApp ne permet pas d'exercer un contrôle granulaire sur la diffusion des messages de statut. L'application est fonctionnellement capable d'empêcher des utilisateurs de recevoir les messages de statut (y compris les notifications « en ligne » et « dernière activité ») mais, pour se servir de la fonction de blocage, l'utilisateur doit énumérer ou identifier les personnes qu'il veut bloquer. Il n'est peut-être pas possible de le faire lorsque l'expéditeur du message ne connaît pas l'utilisateur non désiré.

67.  Compte tenu de ce qui précède, et comme les utilisateurs sont susceptibles de penser que les messages de statut sont communiqués uniquement à des destinataires précis et connus, nous nous serions attendus à ce que WhatsApp ait mieux informé les utilisateurs de la diffusion éventuellement générale des messages de statut.

68.  Malgré les efforts de WhatsApp pour décrire les messages de statut comme des renseignements non confidentiels, à notre avis, l'information relative à la fonctionnalité du statut n'était pas, au début de l'enquête, suffisamment claire et visible pour les utilisateurs. Attendu que la conception de l'application ne permet pas à l'utilisateur de limiter ou de contrôler la diffusion de ses messages de statut, WhatsApp a l'obligation de s'assurer que les utilisateurs des messages de statut sont informés en termes clairs et simples que ce qu'ils affichent sur WhatsApp peut être vu instantanément par tous les utilisateurs de WhatsApp partout dans le monde.

69.  Au cours de l'enquête, WhatsApp a modifié ses conditions d'utilisation et sa politique de confidentialité afin de mieux informer les utilisateurs de la nature publique des messages diffusés. En date de septembre 2012, la politique indiquait, entre autres, ceci :

[Traduction]

Les messages de statut […] peuvent être vus par les autres utilisateurs du service qui ont votre numéro de cellulaire dans leur cellulaire et que vous n'avez pas expressément bloqués. Plus précisément, […] les messages de statut peuvent être vus partout dans le monde par les utilisateurs de WhatsApp qui ont votre numéro de cellulaire dans leur téléphone intelligent, à moins que vous ayez bloqué la diffusion à ces utilisateurs.

Actuellement, nous n'avons aucun moyen d'offrir différents niveaux de visibilité pour la diffusion de vos messages de statut parmi les utilisateurs qui ont votre numéro de cellulaire. Vous reconnaissez et convenez que tout message de statut peut être vu partout dans le monde par les utilisateurs qui ont votre numéro de cellulaire, alors ne diffusez pas et n'affichez pas de messages de statut ni de photos de profil que vous ne voulez pas partager avec tous.

De façon générale, si vous ne voulez pas que le monde entier sache ou voie quelque chose, faites en sorte que cela n'apparaisse pas dans un message de statut diffusé par le service. […] Vous comprenez que, peu importe que ces messages de statut soient publiés ou non, WhatsApp ne garantit la confidentialité d'aucun message. [C'est nous qui soulignons]

Recommandations et conclusions

70.  Comme il a été dit précédemment, suivant le principe 4.3.2, il faut informer la personne au sujet de la collecte, de l'utilisation et de la communication des renseignements personnels et obtenir son consentement. En dépit des efforts récents déployés par WhatsApp pour mettre à jour ses conditions d'utilisation et sa politique de confidentialité, selon nous, d'autres efforts sont requis pour informer les utilisateurs au sujet de la diffusion potentiellement générale et non ciblée des renseignements personnels contenus dans les messages de statut.

71.  Attendu que les conditions d'utilisation et la politique de confidentialité de WhatsApp ne sont peut-être pas facilement accessibles aux utilisateurs sur les appareils mobiles, et attendu que WhatsApp n'est pas encore en mesure d'offrir aux utilisateurs la possibilité d'exercer un plus grand contrôle granulaire sur la diffusion des messages de statut, nous recommandions dans notre rapport préliminaire que WhatsApp signale en temps réel la diffusion des messages. À notre avis, la notification active ou en temps réel ferait en sorte que le consentement à l'affichage des messages de statut serait plus valable. Nous comprenons bien sûr que, pour éviter d'interrompre l'utilisation de l'application, les utilisateurs devraient pouvoir contrôler les invites de notification et les paramètres par défaut.

72.  En réponse à notre recommandation, WhatsApp a indiqué qu'elle avait ajouté la notification en temps réel (p. ex. fenêtres en incrustation) des messages de statut des utilisateurs à son futur plan de mise en œuvre. Selon WhatsApp, la notification en temps réel sera intégrée aux futures versions de l'application, à compter du 30 septembre 2013.

73.  Attendu que WhatsApp s'est engagée à informer les utilisateurs de la diffusion à grande échelle des renseignements personnels contenus dans les messages de statut au moyen de ses conditions d'utilisation, de sa politique de confidentialité et de fenêtres en incrustation, nous jugeons que la plainte relative à la communication automatique des messages de statut est fondée et conditionnellement résolue.

Stockage hors ligne des messages

Question

74.  En se fondant sur un examen technique de l'application, le Commissariat a déposé une plainte afin de mener une enquête pour savoir si WhatsApp enfreint les dispositions de la Loi qui portent sur la conservation. Plus précisément, le Commissariat a cherché à déterminer si WhatsApp avait des lignes directrices adéquates pour régir la conservation des messages non livrés, comme le prévoit le principe 4.5.3 de l'annexe 1 de la Loi.

Résumé de l'enquête

75.  Les messages envoyés par le service WhatsApp sont d'abord transmis aux serveurs de l'entreprise situés dans des installations sécurisées à Washington, D.C., et en Virginie, par l'entremise d'un service ordinaire de transmission des données des abonnés. WhatsApp achemine les messages au destinataire prévu lorsque celui-ci est en ligne.

76.  WhatsApp ne conserve pas les messages livrés et dit ne pas tenir de registre ou d'archives des messages transmis. Les messages livrés ne sont sauvegardés que sur l'appareil mobile de l'utilisateur, et celui-ci peut les supprimer ou les conserver à sa guise.

77.  Dans les cas où le destinataire prévu n'est pas en ligne, les messages qui lui sont envoyés par d'autres utilisateurs de WhatsApp sont stockés par la société, en attendant qu'ils soient transmis. WhatsApp peut conserver un message non livré jusqu'à 30 jours, après quoi le message est automatiquement supprimé.

78.  Les messages non livrés sont stockés sur l'une des quatre partitions de serveur. À l'intérieur de chaque partition, un fichier est réservé à chaque utilisateur. Selon WhatsApp, le cloisonnement est assuré pour chaque utilisateur de par la nature même du fichier du système d'exploitation. Dans ses observations au Commissariat, WhatsApp a confirmé que les messages non livrés n'étaient pas conservés plus de 30 jours.

79.  Au début de l'enquête, WhatsApp ne fournissait pas d'information aux utilisateurs relativement à sa politique de conservation des renseignements personnels, que ce soit dans ses conditions d'utilisation, sa politique de confidentialité ou le contrat de licence de l'utilisateur final de l'application sous licence.

Application de la Loi

80.  Pour rendre une décision sur cette question, nous avons appliqué les principes 4.5.2, 4.5.3 et 4.8 de l'annexe 1 de la Loi. Le principe 4.5.2 prévoit notamment que les organisations devraient élaborer des lignes directrices et appliquer des procédures pour la conservation des renseignements personnels. Ces lignes directrices devraient préciser les durées minimales et maximales de conservation. Le principe 4.5.3 stipule entre autres que les organisations doivent élaborer des lignes directrices et appliquer des procédures régissant la destruction des renseignements personnels. Aux termes du principe 4.8, une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.

81.  Attendu que les messages peuvent être archivés ou conservés par un utilisateur sur son appareil mobile après avoir été transmis, et attendu que les communications entre les utilisateurs sont destinées essentiellement à la messagerie instantanée, nous estimons que la période de conservation de 30 jours établie par WhatsApp pour les messages non livrés est satisfaisante dans les circonstances.

82.  Malgré ce qui précède, nous nous serions attendus à ce que WhatsApp ait décrit sa politique générale en matière de conservation des renseignements personnels dans ses conditions d'utilisation, sa politique de confidentialité ou le contrat de licence de l'utilisateur final de l'application sous licence. Comme l'exige le principe 4.8, une personne doit pouvoir obtenir sans efforts déraisonnables de l'information au sujet des politiques et des pratiques d'une organisation. De plus, vu que la transmission des messages est au cœur de la gestion des renseignements personnels par WhatsApp, et compte tenu du principe 4.5.2, WhatsApp aurait dû élaborer des lignes directrices et appliquer des procédures pour la conservation et la destruction des renseignements personnels contenus dans les messages, et en informer les utilisateurs.

Recommandations et conclusions

83.  À la lumière de ce qui précède, nous recommandions dans notre rapport préliminaire que WhatsApp élabore des lignes directrices et veille à appliquer des procédures concernant la conservation des renseignements personnels. Nous recommandions en outre que WhatsApp fasse en sorte que des renseignements sur sa politique de conservation concernant le stockage hors ligne des messages soient facilement accessibles.

84.  En réponse à nos recommandations, WhatsApp s'est engagée à retravailler sa politique de conservation des renseignements personnels et à rendre la politique révisée accessible au public. WhatsApp a convenu de mettre à jour et d'étoffer ses conditions d'utilisation et sa politique de confidentialité d'ici le 31 mars 2013 afin de mieux renseigner ses utilisateurs sur ces politiques.

85.  Compte tenu de ce qui précède, nous jugeons que la plainte relative à la conservation des messages est fondée et conditionnellement résolue.

Sécurité des transmissions

Question

86.  En se fondant sur une analyse technique de l'application, le Commissariat a déposé une plainte afin de mener une enquête pour savoir si WhatsApp protégeait adéquatement les renseignements personnels, comme le prévoit le principe 4.7 de l'annexe 1 de la Loi. Plus précisément, il a été allégué que les messages envoyés et reçus par l'entremise de WhatsApp n'étaient pas chiffrés, de sorte que les renseignements personnels contenus dans ces messages pouvaient faire l'objet d'une interception.

Résumé de l'enquête

87.  Comme il a été dit précédemment, le système de messagerie de WhatsApp est conçu pour remplacer le SMS standard. L'application utilise un service de transmission des données des utilisateurs d'appareils mobiles (plutôt qu'un service téléphonique) pour l'envoi et la réception de messages instantanés.

88.  Lorsque nous avons commencé notre enquête, les messages envoyés au moyen de l'application n'étaient pas chiffrés. C'est pourquoi les messages envoyés et reçus risquaient d'être interceptés, surtout lorsque l'utilisateur recourait au service à partir de réseaux WI-FI non protégés.

89.  Au cours de l'enquête, nous avons pu confirmer que les messages que s'envoient les utilisateurs de l'application n'étaient pas sécurisés. Même dans les cas où les données étaient envoyées par l'entremise de ports utilisés pour les communications https sécurisées (SSL/TLS), les données personnelles, y compris le contenu des messages des utilisateurs et les numéros de téléphone, étaient clairement visibles.

Application de la Loi

90.  Pour rendre une décision sur cette question, nous avons appliqué le principe 4.7 de l'annexe 1 de la Loi. Selon le principe 4.7, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.1 stipule que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées.

91.  Étant donné que les messages que s'envoient les utilisateurs de l'application peuvent parfois contenir des renseignements personnels sensibles, nous nous serions attendus à ce que WhatsApp établisse des mesures de sécurité adéquates pour garantir la sécurité de ces messages.

92.  Dans ses observations au Commissariat, WhatsApp a confirmé que les messages envoyés et reçus au moyen de l'application n'étaient pas chiffrés, confirmant par la même occasion la nécessité d'instaurer des mesures pour garantir la sécurité des messages instantanés et des autres renseignements personnels joints à ces messages.

93.  Répondant dans une certaine mesure à nos préoccupations, en septembre 2012, WhatsApp a commencé à ajouter le chiffrement de protocole à son service de messagerie mobile. S'il est appliqué correctement, le chiffrement de bout en bout protégera adéquatement les messages contre l'interception.

94.  Au moment où notre enquête s'achevait, WhatsApp utilisait le chiffrement sur plusieurs appareils, entre autres le modèle S40 de Nokia, le BlackBerry de Research in Motion, le iPhone de Apple, ainsi que tous les téléphones Windows et Android.

Recommandations et conclusions

95.  Malgré les changements apportés par WhatsApp en vue de chiffrer les messages des utilisateurs, nous avons constaté au cours de l'enquête que WhatsApp utilise les adresses MAC des appareils iPhone afin de générer automatiquement des mots de passe pour l'échange de messages au moyen de son service. Dans le cas des autres téléphones intelligents, WhatsApp utilise plutôt le numéro d'identité internationale d'équipement mobile (numéro IMEI). Les adresses MAC et les numéros IMEI sont des identifiants propres à chaque téléphone qui sont généralement attribués par les fabricants d'appareils.

96.  Compte tenu des risques liés au dévoilement des numéros IMEI et des adresses MAC, et attendu que les méthodes permettant de générer des mots de passe à l'aide des numéros IMEI et des adresses MAC sont assez bien connues, leur utilisation en vue de générer un mot de passe pour le compte de l'utilisateur n'assure pas, selon nous, une sécurité suffisante pour les renseignements personnels échangés par l'entremise du service de WhatsApp. Selon nos experts techniques, cette pratique entraîne un risque sérieux que le mot de passe de l'utilisateur soit copié sans autorisation et que les messages soient interceptés par un tiers sans que l'utilisateur le sache ou y consente.

97.  Compte tenu de ce qui précède, nous recommandions dans notre rapport préliminaire que WhatsApp élabore de nouveaux protocoles pour la création de mots de passe chiffrés pour les appareils iPhone. En réponse à notre recommandation, WhatsApp a cessé d'utiliser les numéros IMEI et les adresses MAC pour l'authentification sur toutes les plateformes mobiles. WhatsApp a précisé que l'application utilise maintenant une clé de 160 bits générée aléatoirement.

98.  Pour confirmer la mise en œuvre du nouveau processus relatif aux mots de passe, nous avons examiné les organigrammes techniques et les descriptions fonctionnelles se rapportant au processus d'authentification de WhatsApp. Nous avons aussi examiné et étudié des exemples réels de ce processus avec l'aide d'experts techniques. Nous voulions comprendre comment fonctionnait la logique sur laquelle repose l'authentification afin de déterminer si le processus, tel qu'il est conçu par WhatsApp, protégeait suffisamment les renseignements personnels.

99.  Compte tenu des résultats de notre enquête, nous pouvons dire qu'au moment où celle-ci s'achevait, les mesures de sécurité utilisées par WhatsApp semblaient correspondre au degré de sensibilité des renseignements personnels exposés au risque. Nous estimons donc que la plainte concernant la sécurité des transmissions est fondée et résolue. Nous invitons cependant WhatsApp à demeurer vigilante lorsqu'il s'agit de la protection des renseignements personnels, étant donné que le contexte de menace est en constante évolution.

Conservation des données et fermeture de compte

Question

100.  En se fondant sur un examen technique de l'application, le Commissariat a déposé une plainte afin de mener une enquête pour savoir si WhatsApp conservait les renseignements personnels de ses utilisateurs après la désactivation du compte, contrairement à ce que prévoit le principe 4.5 de l'annexe 1 de la Loi. Plus précisément, nous avons cherché à déterminer si WhatsApp conservait les renseignements personnels de ses utilisateurs même lorsque l'application avait été désinstallée.

Résumé de l'enquête

101.  Au début de l'enquête, à la suite d'examens de l'application, des experts techniques et des utilisateurs alléguaient que WhatsApp conservait les renseignements personnels des abonnés après que ceux-ci avaient supprimé le service de messagerie de leurs appareils mobiles.

102.  Selon ces examens, pour que leurs renseignements personnels soient effacés, les utilisateurs devaient en faire la demande à WhatsApp par courriel. Cette procédure, souvent exigeante, n'était pas portée à la connaissance du public, que ce soit dans la foire aux questions de WhatsApp, dans ses conditions d'utilisation ou dans sa politique de confidentialité.

Application de la Loi

103.  Pour rendre une décision sur cette question, nous avons appliqué les principes 4.5.2, 4.5.3 et 4.8 de l'annexe 1 de la Loi. Le principe 4.5.2 prévoit notamment que les organisations devraient élaborer des lignes directrices et appliquer des procédures pour la conservation des renseignements personnels. Ces lignes directrices devraient préciser les durées minimales et maximales de conservation. Le principe 4.5.3 stipule entre autres que les organisations doivent élaborer des lignes directrices et appliquer des procédures régissant la destruction des renseignements personnels. Aux termes du principe 4.8, une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.

104.  Comme il a été expliqué précédemment, les messages transmis par WhatsApp ne sont pas conservés par la société. WhatsApp ne conserve que les messages non livrés, et pendant une période maximale de 30 jours seulement en attendant leur livraison, après quoi les messages sont automatiquement supprimés.

105.  Outre les points susmentionnés, WhatsApp a pour politique d'effacer ou de détruire tous les renseignements personnels se rapportant à un utilisateur, y compris les renseignements pertinents sur les paiements, 30 jours après la cessation du service. Selon WhatsApp, si les renseignements liés à la facturation, le cas échéant, sont conservés pendant 30 jours après la cessation du service, c'est pour faciliter pendant une courte période le renouvellement de l'abonnement. Après la période de 30 jours consécutive à l'expiration du compte, un utilisateur peut s'abonner à nouveau à WhatsApp, mais il devra passer une nouvelle fois par toutes les étapes du processus d'inscription.

106.  Il y a une exception à la période de conservation de 30 jours de WhatsApp : lorsqu'une personne profite d'une période d'essai gratuite d'un an au terme de laquelle elle ne s'abonne pas. Si la personne qui a bénéficié de cet essai gratuit décide de ne pas s'abonner après un an de service, certains renseignements personnels sur cette personne (entre autres son nom d'utilisateur, son numéro de téléphone et le type de compte) peuvent être conservés pendant une période maximale d'un an. WhatsApp dit conserver ces renseignements pour s'assurer que la personne qui a profité de l'essai gratuit ne puisse pas bénéficier d'une période d'essai gratuite consécutive.

107.  Même si nous estimons que les lignes directrices de WhatsApp en matière de conservation des renseignements personnels sont satisfaisantes dans l'ensemble, encore une fois, nous nous serions attendus à ce que WhatsApp ait décrit sa politique de conservation des renseignements personnels dans sa politique de confidentialité ou d'autres documents facilement accessibles.

108.  Comme l'exige le principe 4.8, une personne doit pouvoir obtenir sans efforts déraisonnables de l'information au sujet des politiques et des pratiques d'une organisation. Étant donné que la conservation des données est au cœur de la gestion des renseignements personnels par WhatsApp, la société aurait dû élaborer des lignes directrices et appliquer des procédures pour la conservation et la destruction des renseignements personnels, et en informer les utilisateurs.

Recommandations et conclusions

109.  Compte tenu de ce qui précède, nous recommandions dans notre rapport préliminaire que WhatsApp élabore des lignes directrices et veille à appliquer des procédures concernant la conservation et la destruction des renseignements personnels. Nous recommandions en outre que WhatsApp fasse en sorte que des renseignements sur sa politique de conservation des données personnelles soient facilement accessibles aux utilisateurs.

110.  Comme il a été dit précédemment, en réponse à nos recommandations, WhatsApp s'est engagée à retravailler sa politique de conservation des renseignements personnels et à la rendre accessible au public. WhatsApp a convenu de mettre à jour et d'étoffer ses conditions d'utilisation et sa politique de confidentialité d'ici le 31 mars 2013 afin de mieux renseigner ses utilisateurs sur ces politiques.

111.  Compte tenu de ce qui précède, nous jugeons que la plainte relative à la conservation des données des utilisateurs est fondée et conditionnellement résolue.