Nouvelles

Communiqué

À la suite d'une enquête d'autorités de protection des données, la question de la transgression par WhatsApp de lois sur la protection des renseignements personnels est en partie réglée

Les responsables canadiens et néerlandais de la protection des données rendent publiques les conclusions d'une enquête sur la populaire application mobile

Ottawa (Canada) et La Haye (Pays Bas), le 28 janvier 2013 — Le Commissariat à la protection de la vie privée du Canada (Commissariat) et l’autorité néerlandaise de protection des données (College bescherming persoonsgegevens [CBP]) ont rendu publiques aujourd'hui les conclusions d’une enquête concertée sur le traitement des renseignements personnels par WhatsApp Inc., société californienne qui conçoit des applications mobiles.

L’enquête coordonnée est une première mondiale : deux autorités nationales de protection des données ont examiné de concert les pratiques de protection des renseignements personnels d’une entreprise ayant des centaines de millions de clients dans le monde. Cette collaboration marque un tournant dans la protection de la vie privée à l’échelle mondiale.

« Le Commissariat est très fier d’avoir pris part à cette première mondiale importante avec son homologue néerlandais, particulièrement dans le contexte actuel, un monde de plus en plus virtuel, mobile et sans frontière, a déclaré Jennifer Stoddart, commissaire à la protection de la vie privée du Canada. Grâce à notre enquête, WhatsApp apporte des modifications à son application et s’est engagée à en apporter d’autres, afin de mieux protéger les renseignements personnels de ses utilisateurs. »

Jacob Kohnstamm, président de l’autorité néerlandaise de protection des données, ajoute : « Mais nous ne sommes pas encore entièrement satisfaits. L’enquête a révélé que les utilisateurs de WhatsApp — sauf les utilisateurs de l’iPhone ayant le logiciel iOS6 — n’ont d’autre choix que de permettre l’accès à la totalité de leur carnet d’adresses pour pouvoir utiliser l’application. Le carnet d’adresses contient les numéros de téléphone des utilisateurs et des non-utilisateurs. Cette absence de choix va à l’encontre des lois néerlandaise et canadienne sur la protection de la vie privée. Les utilisateurs de même que les non-utilisateurs devraient pouvoir exercer un contrôle sur leurs données personnelles, et les utilisateurs doivent pouvoir décider en toute liberté quels renseignements sur leurs contacts ils souhaitent partager avec WhatsApp. »

Principales conclusions et résultats

L’enquête portait sur la populaire plateforme de messagerie mobile de WhatsApp, qui permet aux utilisateurs d’envoyer et de recevoir des messages instantanés par Internet sur divers appareils mobiles. Il a été établi que WhatsApp enfreignait les lois néerlandaise et canadienne sur la protection de la vie privée, et l’entreprise a pris des mesures pour donner suite à plusieurs recommandations afin de rendre son produit plus sécuritaire du point de vue de la protection des renseignements personnels. Pour le moment, toutefois, certains problèmes n’ont pas été entièrement réglés.

L’enquête a révélé que WhatsApp transgressait certains principes acceptés mondialement en matière de protection des renseignements personnels, principalement en ce qui a trait à la conservation, à la protection et à la communication des données personnelles. Par exemple :

  • Pour faciliter la communication entre les utilisateurs de l’application, WhatsApp a recours au carnet d’adresses de l’utilisateur pour enrichir la liste de contacts de ses abonnés. Après que les utilisateurs ont consenti à l’utilisation de leur carnet d’adresses, tous les numéros de téléphone enregistrés dans leur appareil mobile sont transmis à WhatsApp pour faciliter l’identification d’autres utilisateurs de l’application. Au lieu de supprimer les numéros de cellulaire des non-utilisateurs, WhatsApp les conserve (sous une forme condensée). Cette pratique contrevient aux lois canadienne et néerlandaise sur la protection de la vie privée, selon lesquelles on ne peut conserver les renseignements qu’aussi longtemps qu’ils sont nécessaires aux fins déterminées. Seuls les utilisateurs de l’iPhone ayant le logiciel iOS6 peuvent ajouter manuellement des contacts, au lieu de laisser les serveurs de l’entreprise télécharger automatiquement les numéros de cellulaire enregistrés dans leur carnet d’adresses.
  • Lorsque nous avons commencé notre enquête, les messages envoyés au moyen du service de messagerie de WhatsApp n’étaient pas chiffrés et risquaient par conséquent d’être interceptés, surtout lorsqu’ils étaient envoyés à partir de réseaux Wi-Fi non protégés. En septembre 2012, donnant suite dans une certaine mesure à notre enquête, WhatsApp a commencé à utiliser le chiffrement pour son service de messagerie mobile.
  • Au cours de l’enquête, nous avons constaté que WhatsApp générait des mots de passe pour l’échange de messages en utilisant des renseignements associés aux appareils, qui peuvent être assez facilement révélés. À cause de cette pratique, il y avait un risque qu’un tiers envoie et reçoive des messages au nom des utilisateurs à l’insu de ces derniers. WhatsApp a renforcé le processus d’authentification dans la toute dernière version de l’application. Le processus consiste à utiliser une clé plus sécuritaire générée aléatoirement au lieu des adresses MAC (Media Access Control) ou des numéros IMEI (International Mobile Station Equipment Identity) (qui identifient chaque appareil utilisant un réseau à l’aide d’un numéro unique) pour attribuer des mots de passe à l’appareil en vue de l’échange de messages au moyen de l’application. Tous ceux qui ont téléchargé WhatsApp, qu’ils soient ou non des utilisateurs actifs, devraient utiliser la version la plus récente pour bénéficier de cette amélioration sur le plan de la sécurité.
Prochaines étapes

Le Commissariat et le CBP ont travaillé en étroite collaboration mais ont présenté des rapports distincts, afin de tenir compte des lois sur la protection des données des deux pays (Loi sur la protection des renseignements personnels et les documents électroniques [LPRPDE] pour le Canada et Wet bescherming persoonsgegevens [Wbp] pour les Pays-Bas). Après la publication de leurs rapports de conclusions respectifs, le Commissariat et le CBP continueront d’examiner les questions en suspens de manière indépendante.

Après une enquête, la loi néerlandaise sur la protection des données prévoit une deuxième phase, au cours de laquelle le CBP déterminera si les manquements à la loi se poursuivent et décidera si d’autres mesures d’application de la loi s’imposent. Le cadre juridique néerlandais permet de faire appliquer la loi sur la protection de la vie privée en infligeant des sanctions.

En vertu de la loi canadienne, la LPRPDE, le Commissariat surveillera les progrès accomplis par l’entreprise pour respecter les engagements pris pendant l’enquête. Dans la plupart des cas, les sociétés s’efforcent de respecter leurs obligations, et WhatsApp a démontré sa volonté à donner entièrement suite aux recommandations du Commissariat. Contrairement au CBP, le Commissariat n’a pas le pouvoir de rendre des ordonnances.

- 30 -

Les versions intégrales des rapports de conclusions des Pays-Bas et du Canada peuvent être consultées en ligne à www.priv.gc.ca et à www.dutchdpa.nl.

Personne-ressource à l’intention des médias :

Scott Hutchinson
Commissariat à la protection de la vie privée du Canada
01-613-947-7261
scott.hutchinson@priv.gc.ca

Lysette Rutgers et Merel Eilander
Autorité néerlandaise de protection des données
(031) (70) - 888 8555
(031) (6) 233 81892 ou (031) (6) 116 1982
l.rutgers@cbpweb.nl ou m.eilander@cbpweb.nl