Conclusions en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

Rapport des conclusions en vertu de la LPRPDE no 2013-001

EnquĂȘte sur les pratiques de traitement des renseignements personnels de WhatsApp Inc.

Le 15 janvier 2013


Rapport de conclusions

Plaintes dĂ©posĂ©es en vertu de la Loi sur la protection des renseignements personnels et les documents Ă©lectroniques (la « Loi Â»)

1.  Le 26 janvier 2012, le Commissariat Ă  la protection de la vie privĂ©e du Canada a dĂ©posĂ© une plainte contre la sociĂ©tĂ© californienne WhatsApp Inc. (« WhatsApp Â»), aux termes du paragraphe 11(2) de la Loi, car il avait des motifs raisonnables de croire que la sociĂ©tĂ© recueillait, utilisait, communiquait et conservait des renseignements personnels de façon non conforme Ă  certaines dispositions de l'annexe 1 de la Loi.

2.  L'enquĂȘte a Ă©tĂ© menĂ©e en collaboration avec l'autoritĂ© nĂ©erlandaise de protection des donnĂ©es (College bescherming persoonsgegevens) et portait principalement sur l'atteinte allĂ©guĂ©e Ă  la vie privĂ©e concernant le consentement, la limitation de la collecte, la limitation de l'utilisation et de la conservation, et les mesures de sĂ©curitĂ©. L'enquĂȘte se limitait aux problĂšmes liĂ©s Ă  la protection de la vie privĂ©e qui ont Ă©tĂ© relevĂ©s entre le 26 janvier 2012 et le 30 novembre 2012.

3.  La sociĂ©tĂ© WhatsApp a Ă©tĂ© informĂ©e de la plainte le 16 fĂ©vrier 2012, et elle a pleinement collaborĂ© Ă  notre enquĂȘte.

4.  Le Commissariat a reçu des observations de WhatsApp du 22 mars 2012 jusqu'au 4 janvier 2013. Le 15 octobre 2012, en se fondant sur les rĂ©sultats de son enquĂȘte, le Commissariat a remis son rapport d'enquĂȘte prĂ©liminaire Ă  WhatsApp (« rapport prĂ©liminaire Â»). Dans ce rapport, il adressait des recommandations Ă  WhatsApp pour qu'elle assume les obligations que lui impose la Loi Ă  l'Ă©gard des questions sur lesquelles le Commissariat avait enquĂȘtĂ©. Le prĂ©sent rapport de conclusions rend compte de ces recommandations et de la rĂ©ponse de WhatsApp.

Introduction

5.  WhatsApp Inc. possĂšde et exploite « WhatsApp Messenger Â» (ci-aprĂšs « l'application Â»), application mobile de messagerie multiplateforme qui permet aux utilisateurs d'Ă©changer des messages sur leurs appareils mobiles par Internet plutĂŽt que par le service de messages courts (SMS). L'application est disponible sur divers appareils et plateformes mobiles, notamment le iPhone d'Apple, le BlackBerry de Research in Motion et Android de Google. En plus de la messagerie de base, l'application permet aux utilisateurs d'envoyer et de recevoir des images ainsi que des messages vidĂ©o et audio.

6.  WhatsApp est une sociĂ©tĂ© amĂ©ricaine, qui est enregistrĂ©e en Californie et qui y a son siĂšge. Elle offre ses services au Canada et en fait activement la promotion. Au moment oĂč l'enquĂȘte a Ă©tĂ© entreprise, l'application faisait partie des cinq applications les plus vendues dans le monde, et elle Ă©tait couramment utilisĂ©e au Canada. Selon certaines estimations, l'application faciliterait la transmission de plus d'un milliard de messages par jour Ă  l'Ă©chelle mondiale.

7.  Au dĂ©but de notre enquĂȘte, un abonnement pour utiliser l'application coĂ»tait 0,99 $. L'application fonctionne sans publicitĂ©, et les utilisateurs peuvent envoyer et recevoir des messages gratuitement, mais il y a des frais de transmission des donnĂ©es par le rĂ©seau. WhatsApp affirme ne pas vendre actuellement de donnĂ©es de marketing ni communiquer de renseignements personnels Ă  des tiers. L'expression « renseignement personnel Â» s'entend de tout renseignement concernant un individu identifiable, Ă  l'exclusion du nom et du titre d'un employĂ© d'une organisation et des adresse et numĂ©ro de tĂ©lĂ©phone de son lieu de travail.

Inscription et création d'un compte

Question

8.  AprĂšs avoir examinĂ© l'application du point de vue technique, le Commissariat a dĂ©posĂ© une plainte concernant le processus d'inscription au service de WhatsApp afin de mener une enquĂȘte pour savoir si ce processus rendait possible l'accĂšs non autorisĂ© Ă  un compte d'utilisateur, contrairement Ă  ce que prĂ©voit le principe 4.7 de l'annexe 1 de la Loi. Plus prĂ©cisĂ©ment, le Commissariat voulait dĂ©terminer si un compte d'utilisateur de WhatsApp pouvait ĂȘtre utilisĂ© avant que le processus d'authentification de l'utilisateur soit achevĂ©, auquel cas un tiers aurait pu crĂ©er et contrĂŽler des comptes associĂ©s Ă  des numĂ©ros de tĂ©lĂ©phone qui ne lui appartiennent pas.

RĂ©sumĂ© de l'enquĂȘte

9.  Les gens peuvent tĂ©lĂ©charger le service de messagerie de WhatsApp dans diverses cyberboutiques. Dans certains cas, l'application est prĂ©installĂ©e dans le tĂ©lĂ©phone par un exploitant de rĂ©seau ou un fabricant d'appareils.

10.  Une fois que l'application a Ă©tĂ© tĂ©lĂ©chargĂ©e sur l'appareil mobile d'une personne, celle-ci doit s'inscrire auprĂšs de WhatsApp en utilisant son appareil.

11.  Au cours du processus d'inscription, WhatsApp invite les gens Ă  lire et Ă  accepter ses conditions d'utilisation et sa politique de confidentialitĂ© qui s'affichent dans une fenĂȘtre en incrustation pendant l'inscription, et on peut aussi les consulter en ligne sur le site de WhatsApp.

12.  AprĂšs avoir lu et acceptĂ© les conditions d'utilisation de WhatsApp, l'utilisateur doit indiquer dans quel pays il rĂ©side et fournir son numĂ©ro de cellulaire. Dans certains cas, l'application peut aussi demander Ă  la personne qui s'inscrit d'indiquer son nom de notification prĂ©fĂ©rĂ© (c.-Ă -d. le nom que l'utilisateur veut voir apparaĂźtre dans les messages qu'il envoie).

13.  Selon WhatsApp, dĂšs que la personne a fourni son indicatif de pays et son numĂ©ro de cellulaire, l'application recueille les renseignements suivants Ă  partir de son appareil mobile : identifiants de l'appareil, numĂ©ro d'identitĂ© de l'abonnĂ© mobile, indicatif de pays de l'appareil mobile et code de rĂ©seau mobile.

14.  WhatsApp utilise ces renseignements pour envoyer Ă  la personne qui s'est inscrite une confirmation d'ouverture de compte au moyen d'un SMS standard. À partir de la rĂ©ponse au message, WhatsApp vĂ©rifie que les renseignements personnels fournis par l'utilisateur au cours du processus d'inscription correspondent aux renseignements associĂ©s Ă  l'appareil mobile. AprĂšs la confirmation, l'utilisateur est inscrit et son compte est activĂ©. L'utilisateur peut alors commencer Ă  Ă©changer des messages avec d'autres utilisateurs de WhatsApp partout dans le monde.

15.  MalgrĂ© les procĂ©dures de vĂ©rification dĂ©crites ci-dessus, on a signalĂ© au dĂ©but de 2011, dans divers examens techniques, que le processus d'inscription Ă  WhatsApp n'empĂȘchait pas l'utilisation de l'application mĂȘme lorsque l'utilisateur n'avait pas rĂ©pondu au message de confirmation de l'ouverture du compte. Autrement dit, mĂȘme lorsque la personne inscrite ne confirmait pas son identitĂ©, l'application vĂ©rifiait l'appareil enregistrĂ© et permettait la transmission de messages Ă  cet appareil.

16.  On a signalĂ© en outre que les messages de confirmation de l'ouverture de compte de WhatsApp Ă©taient envoyĂ©s au moyen de ports ordinaires pour le trafic Web et, semble-t-il, sans chiffrement ni mesures de sĂ©curitĂ©. En l'absence de mesures de sĂ©curitĂ© adĂ©quates, les messages de confirmation et les renseignements personnels qui y sont joints risquent d'ĂȘtre interceptĂ©s. Une fois interceptĂ©, un numĂ©ro de confirmation peut ĂȘtre utilisĂ© pour lire et recevoir les messages d'un utilisateur ou tout autre renseignement personnel envoyĂ© au numĂ©ro programmĂ© (comme on le verra plus loin).

Application de la Loi

17.  Pour rendre une dĂ©cision sur cette question, nous avons appliquĂ© les principes 4.7 et 4.7.1 de l'annexe 1 de la Loi. Selon le principe 4.7, les renseignements personnels doivent ĂȘtre protĂ©gĂ©s au moyen de mesures de sĂ©curitĂ© correspondant Ă  leur degrĂ© de sensibilitĂ©. Le principe 4.7.1 prĂ©cise que les mesures de sĂ©curitĂ© d'une organisation doivent protĂ©ger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisĂ©es.

18.  À notre avis, les identifiants de l'appareil d'une personne inscrite, le numĂ©ro d'identitĂ© de l'abonnĂ© mobile, l'indicatif de pays de l'appareil mobile et le code de rĂ©seau mobile constituent des renseignements personnels au sens de la Loi, puisque ces renseignements, seuls ou en association avec d'autres renseignements, pourraient permettre d'identifier une personne.

19.  WhatsApp dit avoir dĂ©celĂ© les problĂšmes liĂ©s Ă  l'inscription en mai 2011. AprĂšs s'ĂȘtre rendu compte du risque d'atteinte Ă  la sĂ©curitĂ© lors de l'inscription, et avant que nous ayons commencĂ© notre enquĂȘte, WhatsApp a pris des mesures pour rĂ©gler le problĂšme.

20.  Pour vĂ©rifier si les failles liĂ©es Ă  l'inscription qui avaient Ă©tĂ© rendues publiques existaient bel et bien, et pour confirmer que les mesures correctives prises par WhatsApp Ă©taient suffisantes pour garantir la conformitĂ© Ă  la Loi, des tests sur mesure ont Ă©tĂ© rĂ©alisĂ©s sur le processus d'inscription de WhatsApp. Les rĂ©sultats des tests nous ont convaincus que les problĂšmes liĂ©s au processus d'inscription au service mobile de WhatsApp avaient Ă©tĂ© rĂ©solus.

Conclusion

21.  Compte tenu des rĂ©sultats de nos tests et du fait que WhatsApp a confirmĂ© qu'il n'y a plus, Ă  sa connaissance, de problĂšmes liĂ©s Ă  la sĂ©curitĂ© du processus d'inscription, nous estimons que les prĂ©occupations liĂ©es au processus d'inscription de WhatsApp sont non fondĂ©es.

Intégration du carnet d'adresses d'un utilisateur

Question

22.  En se fondant sur un examen technique de l'application, le Commissariat a dĂ©posĂ© une plainte afin de mener une enquĂȘte pour savoir si WhatsApp recueillait plus de renseignements personnels que nĂ©cessaire pour permettre Ă  ses utilisateurs d'envoyer et de recevoir des messages, contrairement Ă  ce que prĂ©voit le principe 4.4 de l'annexe 1 de la Loi. Le Commissariat a aussi cherchĂ© Ă  dĂ©terminer si WhatsApp exigeait comme condition d'utilisation le tĂ©lĂ©chargement de la totalitĂ© du carnet d'adresses ou de la liste de contacts de l'utilisateur â€“ plutĂŽt que de permettre l'utilisation des coordonnĂ©es associĂ©es uniquement aux personnes avec lesquelles l'utilisateur choisit de communiquer â€“, contrairement Ă  ce que prĂ©voit le principe 4.3.3 de l'annexe 1 de la Loi.

RĂ©sumĂ© de l'enquĂȘte

23.  Le service de messagerie de WhatsApp est un systĂšme de messagerie instantanĂ©e qui peut ĂȘtre utilisĂ© sur les appareils mobiles, qu'il s'agisse des tĂ©lĂ©phones BlackBerry, iPhone, Android ou de ceux qui utilisent Windows. Par exemple, les utilisateurs du BlackBerry peuvent envoyer des messages aux utilisateurs d'Android et du iPhone et vice versa, ce que ne permettent gĂ©nĂ©ralement pas les systĂšmes de messagerie brevetĂ©s intĂ©grĂ©s aux tĂ©lĂ©phones par les fabricants d'appareils mobiles. Cependant, pour envoyer et recevoir des messages en utilisant cette application, il faut que l'expĂ©diteur et le destinataire d'un message aient installĂ© l'application sur leur appareil et se soient inscrits au service.

24.  Pour faciliter la communication entre les utilisateurs de l'application, WhatsApp a recours au carnet d'adresses de l'utilisateur pour enrichir la liste de « tous ses contacts Â» sur WhatsApp. AprĂšs qu'un utilisateur a consenti Ă  l'utilisation de son carnet d'adresses, les coordonnĂ©es enregistrĂ©es dans son appareil mobile sont transmises rĂ©guliĂšrement aux serveurs de WhatsApp pour faciliter l'identification d'autres utilisateurs de l'application.

25.  Selon WhatsApp, l'application est conçue pour tĂ©lĂ©charger sur ses serveurs le carnet d'adresses du cellulaire de l'utilisateur jusqu'Ă  deux fois par jour, ou au moment oĂč l'utilisateur rafraĂźchit sa liste de contacts. WhatsApp soutient que les renseignements personnels recueillis pendant le processus de recherche des contacts se limitent aux numĂ©ros de cellulaire et qu'elle ne recueille pas les noms, adresses de courriel et autres renseignements stockĂ©s dans le carnet d'adresses d'un utilisateur. L'association entre les noms et les numĂ©ros des contacts se fait uniquement sur l'appareil de l'utilisateur, et non dans le cadre d'un quelconque appariement de donnĂ©es effectuĂ© par WhatsApp.

26.  Une fois que l'utilisateur a consenti Ă  l'utilisation des coordonnĂ©es stockĂ©es dans son appareil en vue de la recherche de contacts, les numĂ©ros de cellulaire de son carnet d'adresses sont transfĂ©rĂ©s en toute sĂ©curitĂ© aux serveurs de WhatsApp au moyen d'un protocole sĂ©curisĂ© de cryptage (SSL)/protocole de sĂ©curitĂ© de la couche transport (TLS) ou chiffrement SSL/TLS.

27.  DĂšs qu'un numĂ©ro de contact a Ă©tĂ© tĂ©lĂ©chargĂ©, les serveurs d'entreprise de WhatsApp le classe dans la catĂ©gorie « rĂ©seau Â» (c.-Ă -d. inscrits auprĂšs de WhatsApp) ou « hors rĂ©seau Â». Il n'est possible d'utiliser le service de WhatsApp que pour communiquer avec les numĂ©ros « rĂ©seau Â». Un numĂ©ro « hors rĂ©seau Â» ne sera associĂ© Ă  un utilisateur de WhatsApp qu'une fois que l'application aura Ă©tĂ© installĂ©e sur l'appareil ayant ce numĂ©ro et que la personne se sera inscrite au service.

28.  Selon WhatsApp, les numĂ©ros « rĂ©seau Â» sont mĂ©morisĂ©s en tant que valeurs originales (c.-Ă -d. en texte clair) sur ses serveurs. Les numĂ©ros « hors rĂ©seau Â» sont mĂ©morisĂ©s sous forme de valeurs unidirectionnelles, irrĂ©versiblement hachĂ©es. WhatsApp traite les numĂ©ros en plusieurs Ă©tapes, la plus importante Ă©tant une fonction de hachage « MD5 Â». Le numĂ©ro de tĂ©lĂ©phone et une valeur de cryptage fixe servent de donnĂ©es d'entrĂ©e pour la fonction de hachage, et la donnĂ©e de sortie est tronquĂ©e Ă  53 bits et combinĂ©e Ă  l'indicatif de pays du numĂ©ro. Le rĂ©sultat, une valeur de 64 bits, est stockĂ© dans des tables de donnĂ©es sur les serveurs de WhatsApp. Selon WhatsApp, cette procĂ©dure est conçue pour dĂ©personnaliser les numĂ©ros hors rĂ©seau (c.-Ă -d. les numĂ©ros de cellulaire des non-utilisateurs).

Application de la Loi

29.  Pour rendre une dĂ©cision sur cette question, nous avons appliquĂ© les principes 4.3.3 et 4.4.1 de l'annexe 1 de la Loi, et le paragraphe 5(3) de la Loi. Le principe 4.4.1 interdit aux organisations de recueillir des renseignements personnels de façon arbitraire. En vertu de la Loi, la collecte de renseignements personnels doit ĂȘtre limitĂ©e Ă  ce qui est nĂ©cessaire pour les fins dĂ©terminĂ©es.

30.  Selon le principe 4.3.3, une organisation ne peut pas, pour le motif qu'elle fournit un bien ou un service, exiger d'une personne qu'elle consente Ă  la collecte, Ă  l'utilisation ou Ă  la communication de renseignements autres que ceux qui sont nĂ©cessaires pour rĂ©aliser les fins lĂ©gitimes et explicitement indiquĂ©es.

31.  Le paragraphe 5(3) de la Loi stipule qu'une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'Ă  des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

32.  Au dĂ©but de notre enquĂȘte, le paragraphe 3B des conditions d'utilisation de WhatsApp fournissait l'information suivante aux utilisateurs Ă  propos de la collecte et de l'intĂ©gration des renseignements liĂ©s aux contacts :

[Traduction]

Pour avoir accÚs aux fonctions du service et les utiliser, vous reconnaissez et convenez que vous devrez fournir votre numéro de cellulaire à WhatsApp. Vous reconnaissez et convenez expressément que, pour fournir le service, WhatsApp peut accéder réguliÚrement à la liste de contacts ou au carnet d'adresses de votre appareil mobile et enregistrer les numéros de cellulaire des autres utilisateurs du service [...].

Pour que le service puisse ĂȘtre offert et que vous puissiez l'utiliser, vous consentez explicitement par la prĂ©sente Ă  ce que WhatsApp accĂšde Ă  votre liste de contacts ou Ă  votre carnet d'adresses pour mĂ©moriser les numĂ©ros de cellulaire. Nous ne recueillons pas les noms, les adresses ni les adresses de courriel, seulement les numĂ©ros de cellulaire.

33.  Selon WhatsApp, si un utilisateur refuse de consentir au tĂ©lĂ©chargement ou Ă  l'intĂ©gration des renseignements contenus dans son carnet d'adresses, l'application peut continuer de fonctionner, mais moins bien ou de maniĂšre limitĂ©e. Les utilisateurs ne peuvent pas envoyer de messages aux personnes de leur choix, ni en recevoir, en entrant manuellement les coordonnĂ©es d'un contact pris isolĂ©ment ou des contacts proposĂ©s.

34.  Au cours de l'enquĂȘte, des tests sur mesure ont Ă©tĂ© rĂ©alisĂ©s sur le processus de recherche des contacts de l'application. Les rĂ©sultats des tests nous ont permis de confirmer que les renseignements personnels recueillis au cours de ce processus se limitent aux numĂ©ros de cellulaire.

Recommandations et conclusions

35.  Selon le principe 4.4 de l'annexe 1 de la Loi, l'organisation ne peut recueillir que les renseignements personnels nĂ©cessaires aux fins dĂ©terminĂ©es. Le principe 4.5.3 stipule que l'on devrait dĂ©truire, effacer ou dĂ©personnaliser les renseignements personnels dont on n'a plus besoin aux fins prĂ©cisĂ©es.

36.  MĂȘme si l'information recueillie par WhatsApp durant le processus de recherche des contacts est limitĂ©e, les utilisateurs devraient pouvoir ajouter manuellement des contacts et en faire la gestion, au lieu d'ĂȘtre obligĂ©s de fournir la totalitĂ© de leur carnet d'adresses pour l'identification des autres utilisateurs de l'application. Au moment oĂč nous avons entrepris l'enquĂȘte, WhatsApp imposait aux utilisateurs, comme condition d'utilisation, qu'ils consentent Ă  la collecte et Ă  l'utilisation de tous les numĂ©ros de tĂ©lĂ©phone figurant dans leur carnet d'adresses, plutĂŽt que de permettre Ă  l'abonnĂ© d'utiliser le numĂ©ro de tĂ©lĂ©phone individuel de la personne avec laquelle il veut communiquer.

37.  Par ailleurs, puisque WhatsApp n'a pas besoin des numĂ©ros de cellulaire des non-utilisateurs pour que l'application fonctionne, nous avons recommandĂ© dans notre rapport prĂ©liminaire que ces numĂ©ros soient dĂ©truits immĂ©diatement aprĂšs avoir Ă©tĂ© identifiĂ©s et classĂ©s dans la catĂ©gorie des numĂ©ros « hors rĂ©seau Â». Bien que les numĂ©ros des non-utilisateurs puissent ĂȘtre recueillis avec le consentement de l'utilisateur dans le cadre du processus de recherche des contacts, WhatsApp ne devrait pas les conserver.

38.  WhatsApp a plutĂŽt mis en place une procĂ©dure pour dĂ©personnaliser les numĂ©ros hors rĂ©seau. Nous aurions prĂ©fĂ©rĂ© qu'ils soient supprimĂ©s mais, selon WhatsApp, la collecte et la conservation des numĂ©ros rĂ©seau et hors rĂ©seau sont nĂ©cessaires pour faciliter le fonctionnement de l'application.

39.  Pour dĂ©personnaliser les numĂ©ros hors rĂ©seau, WhatsApp a recours Ă  une technique cryptographique de hachage qui, Ă  son avis, fait en sorte que la valeur originale des numĂ©ros hors rĂ©seau soit difficile Ă  dĂ©terminer. Selon WhatsApp, ce processus de hachage empĂȘche l'identification des non-utilisateurs, offrant ainsi aux abonnĂ©s au service un moyen efficace de trouver de nouveaux contacts tout en protĂ©geant les numĂ©ros de cellulaire des non-utilisateurs.

40.  Au cours de l'enquĂȘte, nous avons examinĂ© les organigrammes techniques et les descriptions fonctionnelles se rapportant au processus de dĂ©personnalisation employĂ© par WhatsApp pour les numĂ©ros hors rĂ©seau. Nous avons Ă©galement discutĂ© avec un membre de l'Ă©quipe d'ingĂ©nierie de WhatsApp afin de mieux comprendre la logique sur laquelle repose le processus de dĂ©personnalisation de la sociĂ©tĂ©.

41.  En nous fondant sur l'examen du processus mentionnĂ© ci-dessus, nous avons conclu que le traitement des numĂ©ros hors rĂ©seau par WhatsApp ne constituait pas une forme efficace de dĂ©personnalisation. Les renseignements ne sont rendus rĂ©ellement anonymes que lorsqu'ils ne peuvent jamais ĂȘtre associĂ©s Ă  une personne, directement ou indirectement. À notre avis, l'utilisation par WhatsApp de tous les chiffres d'un numĂ©ro hors rĂ©seau, combinĂ©e Ă  une valeur de cryptage fixe pour la fonction de hachage, ne se traduit pas rĂ©ellement par l'anonymisation des numĂ©ros hors rĂ©seau. En effet, le numĂ©ro peut ĂȘtre rĂ©cupĂ©rĂ© avec un peu d'effort s'il y a une atteinte Ă  la sĂ©curitĂ© de la base de donnĂ©es des numĂ©ros hors rĂ©seau et de la valeur de cryptage fixe. Des programmes d'essai simples, crĂ©Ă©s par nos experts techniques, ont montrĂ© que les numĂ©ros de tĂ©lĂ©phone pouvaient ĂȘtre rĂ©cupĂ©rĂ©s, une fois que le cryptage est connu, en moins de trois minutes Ă  l'aide d'un ordinateur de bureau standard de faible puissance. Le fait que les numĂ©ros de tĂ©lĂ©phone puissent ĂȘtre rĂ©cupĂ©rĂ©s â€“ bien qu'il faille y mettre un certain effort et qu'il doive y avoir une atteinte Ă  la sĂ©curitĂ© des donnĂ©es â€“ signifie que les renseignements stockĂ©s ne sont pas vĂ©ritablement anonymes.

42.  De surcroĂźt, nous avons constatĂ© qu'en soumettant de nouveau le mĂȘme numĂ©ro de tĂ©lĂ©phone au processus, on obtient toujours la mĂȘme valeur, alors la sociĂ©tĂ© pourrait adopter une pratique (ou ĂȘtre obligĂ©e de le faire) en vue de retraiter un numĂ©ro de tĂ©lĂ©phone et de le trouver dans ses bases de donnĂ©es.

43.  Bien que WhatsApp ait affirmĂ© que sa procĂ©dure de traitement entraĂźne un certain chevauchement dans les tentatives pour rĂ©cupĂ©rer les numĂ©ros hors rĂ©seau (c.-Ă -d. des « collisions intentionnelles Â»), de sorte qu'il est possible que de multiples numĂ©ros produisent les mĂȘmes rĂ©sultats de hachage (ce qui procure une certaine protection des renseignements personnels des non-utilisateurs), la faible quantitĂ© de valeurs de chevauchement ne fournit pas, Ă  notre avis, une forme suffisamment pratique d'anonymisation.

44.  Si les renseignements personnels recueillis par WhatsApp au cours du processus de recherche des contacts se limitent Ă  ce qui est nĂ©cessaire Ă  des fins lĂ©gitimes, comme l'indiquent ses conditions d'utilisation, la conservation des numĂ©ros hors rĂ©seau par la sociĂ©tĂ© n'est quand mĂȘme pas nĂ©cessaire selon nous et pourrait donner lieu Ă  des utilisations inadĂ©quates ou non voulus des numĂ©ros de tĂ©lĂ©phone des non-utilisateurs.

45.  Compte tenu de ce qui prĂ©cĂšde, et attendu que les numĂ©ros hors rĂ©seau sont conservĂ©s plus longtemps que nĂ©cessaire aux fins de la recherche de contacts, nous estimons que les prĂ©occupations concernant la conservation des numĂ©ros des non-utilisateurs sont fondĂ©es.

46.  Nonobstant ce qui prĂ©cĂšde, par suite des recommandations formulĂ©es dans notre rapport prĂ©liminaire, WhatsApp offre maintenant aux utilisateurs du iPhone la possibilitĂ© d'ajouter manuellement des contacts, et d'esquiver ainsi le processus de recherche des contacts de l'application. Nos essais ont confirmĂ© que cette fonctionnalitĂ© est maintenant intĂ©grĂ©e Ă  la plus rĂ©cente application iOS (version 2.8.7) d'Apple. WhatsApp affirme que la mĂȘme fonctionnalitĂ© sera intĂ©grĂ©e aux autres systĂšmes d'exploitation prĂ©vus dans son plan de mise en Ɠuvre, mais la sociĂ©tĂ© n'a pu nous indiquer une date d'engagement ferme pour la mise en Ɠuvre.

Communication systématique des messages de statut

Question

47.  En se fondant sur un examen technique de l'application, le Commissariat a dĂ©posĂ© une plainte afin de mener une enquĂȘte pour savoir si WhatsApp omettait d'informer les utilisateurs et d'obtenir leur consentement avant de communiquer des renseignements personnels les concernant, contrairement Ă  ce que prĂ©voit le principe 4.3 de l'annexe 1 de la Loi. Plus prĂ©cisĂ©ment, le Commissariat a cherchĂ© Ă  dĂ©terminer si WhatsApp diffusait les « mises Ă  jour du statut Â» de ses utilisateurs Ă  des personnes que les utilisateurs ne connaissent peut-ĂȘtre pas (ou auxquelles ils ne souhaitent pas communiquer des renseignements personnels), sans qu'ils le sachent et sans leur consentement.

RĂ©sumĂ© de l'enquĂȘte

48.  WhatsApp permet Ă  ses utilisateurs de mettre Ă  jour leur statut (p. ex. une brĂšve expression de l'Ă©tat d'esprit d'un utilisateur, de son opinion, l'indication de l'endroit oĂč il se trouve) puis de communiquer ces mises Ă  jour. Pour entrer son statut, l'utilisateur doit ouvrir l'onglet « Status Â» de l'application et y inscrire un message personnalisĂ© ou sĂ©lectionner un ou plusieurs des paramĂštres par dĂ©faut du statut. Les messages courants comprennent « available Â» (disponible), « busy Â» (occupĂ©), « at school Â» (Ă  l'Ă©cole), « at work Â» (au travail), « sleeping Â» (en train de dormir), « in a meeting Â» (en rĂ©union) et « urgent calls only Â» (appels urgents seulement).

49.  La longueur des messages de statut personnalisĂ©s est limitĂ©e Ă  139 caractĂšres. Le champ du statut d'un utilisateur ne peut ĂȘtre laissĂ© en blanc (sauf pour les utilisateurs du iPhone de Apple), mais l'utilisateur peut y entrer des caractĂšres choisis au hasard, des signes de ponctuation ou des illustrations graphiques (c.-Ă -d. ce qu'on appelle des Ă©moticĂŽnes), de maniĂšre Ă  ce que le message soit dĂ©pourvu de signification. Une fois que l'utilisateur a entrĂ© son message de statut, il est invitĂ© Ă  l'enregistrer ou Ă  annuler l'entrĂ©e.

50.  Une fois enregistrĂ©, le message de statut est prĂȘt Ă  ĂȘtre diffusĂ©. À l'exception des conditions juridiques associĂ©es aux messages de statut des utilisateurs, telles qu'elles sont indiquĂ©es dans les conditions d'utilisation et la politique de confidentialitĂ© de WhatsApp, il n'y a pas d'autres avis ni instructions donnĂ©s aux utilisateurs avant la diffusion du message de statut.

51.  Contrairement Ă  certaines plateformes de rĂ©seautage social qui permettent aux utilisateurs de limiter la diffusion des messages de statut Ă  certaines personnes, les messages de statut communiquĂ©s Ă  l'aide du service de messagerie de WhatsApp sont, Ă  dessein, diffusĂ©s Ă  tous les utilisateurs de WhatsApp qui ont, dans leur liste de contacts, le numĂ©ro de tĂ©lĂ©phone de l'utilisateur dont le message est diffusĂ©. Cela signifie qu'un expĂ©diteur ne connaĂźt pas nĂ©cessairement l'identitĂ© de tous les utilisateurs de l'application qui peuvent recevoir ou surveiller ses messages de statut. Toute personne, que ses intentions soient amicales ou malveillantes, peut surveiller le statut d'un utilisateur, aussi longtemps que cette personne a le numĂ©ro de tĂ©lĂ©phone de l'expĂ©diteur du message.

52.  Au dĂ©but de notre enquĂȘte, WhatsApp expliquait en dĂ©tail aux utilisateurs les conditions liĂ©es aux messages de statut. La sociĂ©tĂ© indiquait dans ses conditions d'utilisation et sa politique de confidentialitĂ© que les messages de statut communiquĂ©s Ă  tous les utilisateurs n'Ă©taient pas confidentiels :

[Traduction]

Le service de WhatsApp permet la diffusion de messages de statut et d'autres communications Ă©manant de vous et d'autres utilisateurs.

Vous comprenez que WhatsApp ne garantit pas la confidentialité de ces messages de statut d'utilisateurs, qu'ils soient publiés ou non.

Vous seul ĂȘtes responsable des messages de statut affichĂ©s et des consĂ©quences de leur affichage.

Le contenu des messages de statut affichĂ©s sur les sites de WhatsApp peut ĂȘtre retransmis par Internet et d'autres moyens de communication, et peut ĂȘtre vu par le grand public.

53.  Selon WhatsApp, les statuts sont rafraĂźchis rĂ©guliĂšrement durant la journĂ©e. Lorsqu'un utilisateur rafraĂźchit manuellement sa liste de contacts, le statut est Ă©galement mis Ă  jour pour cette liste spĂ©cifique de numĂ©ros rĂ©seau.

54.  Les messages de statut ne sont pas communiquĂ©s aux personnes qui sont bloquĂ©es par l'expĂ©diteur (c.-Ă -d. les personnes qui ont Ă©tĂ© ajoutĂ©es Ă  sa liste des « contacts bloquĂ©s Â»).

55.  En plus des mises Ă  jour faites par l'utilisateur, WhatsApp peut aussi transmettre un avis de « derniĂšre activitĂ© Â» aux personnes figurant sur la liste des numĂ©ros rĂ©seau d'un abonnĂ©. La « derniĂšre activitĂ© Â» indique approximativement Ă  quel moment l'utilisateur s'est servi de l'application la derniĂšre fois ou l'a activĂ©e d'une quelque autre façon. Contrairement Ă  la diffusion des messages de statut, la diffusion ou la publication de la derniĂšre activitĂ© peut ĂȘtre limitĂ©e grĂące aux paramĂštres de profil de l'utilisateur.

Application de la Loi

56.  Pour rendre une dĂ©cision sur cette question, nous avons appliquĂ© les principes 4.3, 4.3.2, 4.3.4 et 4.3.5 de l'annexe 1 de la Loi. Aux termes du principe 4.3, toute personne doit ĂȘtre informĂ©e de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, Ă  moins qu'il ne soit pas appropriĂ© de le faire. Le principe 4.3.2 prĂ©cise que, pour que le consentement soit valable, les fins auxquelles les renseignements seront utilisĂ©s doivent ĂȘtre Ă©noncĂ©es de façon que la personne puisse raisonnablement comprendre de quelle maniĂšre les renseignements seront utilisĂ©s ou communiquĂ©s.

57.  Le principe 4.3.4 traite de la forme du consentement que l'organisation doit chercher Ă  obtenir avant la collecte, l'utilisation ou la communication des renseignements personnels. La forme du consentement pouvant varier, le principe 4.3.4 impose aux organisations de tenir compte de la sensibilitĂ© des renseignements en question. Le principe 4.3.5 indique que, dans l'obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes. Bien que certains renseignements soient presque toujours considĂ©rĂ©s comme sensibles, tout renseignement peut l'ĂȘtre selon le contexte.

58.  Lors de l'enquĂȘte, nous avons d'abord examinĂ© si les messages de statut constituent des « renseignements personnels Â» aux termes de la Loi. Comme il a Ă©tĂ© dit prĂ©cĂ©demment, le paragraphe 2(1) de la Loi dĂ©finit les renseignements personnels comme tout renseignement concernant un individu identifiable, Ă  l'exclusion du nom et du titre d'un employĂ© d'une organisation et des adresse et numĂ©ro de tĂ©lĂ©phone de son lieu de travail.

59.  ConformĂ©ment Ă  la jurisprudence, le Commissariat estime que les renseignements visent un « individu identifiable Â» lorsqu'il y a une forte probabilitĂ© qu'une personne puisse ĂȘtre identifiĂ©e par l'utilisation de ces renseignements, seuls ou en association avec d'autres renseignements. MĂȘme les renseignements subjectifs concernant une personne peuvent ĂȘtre des renseignements personnels, que cette information soit ou non jugĂ©e exacte.

60.  Nous notons en outre que, au sens du rĂšglement d'application de la Loi, les renseignements sont encore des renseignements personnels mĂȘme s'il s'agit de renseignements auxquels le public a accĂšs (bien que ces renseignements puissent ĂȘtre exemptĂ©s des exigences applicables en matiĂšre de consentement).

61.  ConformĂ©ment Ă  la dĂ©finition de « renseignement personnel Â» ci-dessus, nous estimons que les renseignements contenus dans le message de statut d'un utilisateur peuvent constituer des renseignements personnels. Il y a d'innombrables cas oĂč un utilisateur peut dĂ©cider de communiquer des renseignements qui le concernent â€“ qu'il s'agisse de l'endroit oĂč il se trouve, de son opinion, de l'Ă©tat d'une relation, ou de quelque autre forme d'expression de soi â€“ et oĂč de tels renseignements, seuls ou en association avec d'autres donnĂ©es, pourraient permettre de l'identifier.

62.  Si on accepte que les messages de statut des utilisateurs puissent constituer des renseignements personnels, la Loi exige que WhatsApp informe les utilisateurs et obtienne leur consentement avant tout collecte, utilisation ou communication de ces renseignements. Le consentement doit ĂȘtre valable et, qu'il soit donnĂ© implicitement ou expressĂ©ment, il doit tenir compte de la sensibilitĂ© Ă©ventuelle des renseignements personnels en question et des attentes raisonnables de la personne concernĂ©e.

63.  Dans le cas de la prĂ©sente plainte, notre principale prĂ©occupation concerne l'incapacitĂ© de l'utilisateur Ă  limiter et Ă  contrĂŽler la diffusion de ses messages de statut. Nous reconnaissons qu'un utilisateur qui fournit des renseignements personnels dans son message de statut choisit de communiquer ou de diffuser ces renseignements Ă  d'autres. Par contre, la diffusion illimitĂ©e, ou Ă  des gens inconnus, de cette information ne correspond pas, Ă  notre avis, aux attentes raisonnables de l'utilisateur de l'application.

64.  Compte tenu de la nature de l'application â€“ une plateforme de messagerie pair Ă  pair, oĂč les utilisateurs ne communiquent qu'avec ceux qui figurent dans leur carnet d'adresses privĂ© â€“, nous avons du mal Ă  croire qu'un utilisateur consentirait Ă  la communication ou Ă  la diffusion de ses renseignements personnels Ă  d'autres personnes que ses contacts ou Ă  des utilisateurs de l'application qu'il ne connaĂźt pas. MĂȘme si l'application permet d'empĂȘcher la diffusion des messages de statut aux personnes figurant sur la liste des contacts bloquĂ©s de l'utilisateur, cette liste ne peut contenir que des personnes connues de l'utilisateur.

65.  À la diffĂ©rence des services de microblogage, dont la fonction essentielle est de permettre aux utilisateurs et aux non-utilisateurs de lire ou de recevoir des messages textuels grĂące Ă  divers services et plateformes, le systĂšme de messagerie mobile de WhatsApp (telle que la sociĂ©tĂ© le dĂ©crit elle-mĂȘme) est d'abord et avant tout conçu pour remplacer le SMS. Il permet la communication instantanĂ©e de messages Ă  des personnes prĂ©cises, identifiĂ©es par l'utilisateur de l'application. Bien que l'application puisse aussi offrir aux utilisateurs la possibilitĂ© de communiquer plus largement leurs messages de statut et d'autres formes d'expression personnelle, elle le fait dans le cadre des communications entre pairs, de sorte que l'on a l'impression que ces messages ne sont communiquĂ©s qu'aux personnes que l'utilisateur connaĂźt.

66.  Comme nous l'expliquions au paragraphe 51, WhatsApp ne permet pas d'exercer un contrĂŽle granulaire sur la diffusion des messages de statut. L'application est fonctionnellement capable d'empĂȘcher des utilisateurs de recevoir les messages de statut (y compris les notifications « en ligne Â» et « derniĂšre activitĂ© Â») mais, pour se servir de la fonction de blocage, l'utilisateur doit Ă©numĂ©rer ou identifier les personnes qu'il veut bloquer. Il n'est peut-ĂȘtre pas possible de le faire lorsque l'expĂ©diteur du message ne connaĂźt pas l'utilisateur non dĂ©sirĂ©.

67.  Compte tenu de ce qui prĂ©cĂšde, et comme les utilisateurs sont susceptibles de penser que les messages de statut sont communiquĂ©s uniquement Ă  des destinataires prĂ©cis et connus, nous nous serions attendus Ă  ce que WhatsApp ait mieux informĂ© les utilisateurs de la diffusion Ă©ventuellement gĂ©nĂ©rale des messages de statut.

68.  MalgrĂ© les efforts de WhatsApp pour dĂ©crire les messages de statut comme des renseignements non confidentiels, Ă  notre avis, l'information relative Ă  la fonctionnalitĂ© du statut n'Ă©tait pas, au dĂ©but de l'enquĂȘte, suffisamment claire et visible pour les utilisateurs. Attendu que la conception de l'application ne permet pas Ă  l'utilisateur de limiter ou de contrĂŽler la diffusion de ses messages de statut, WhatsApp a l'obligation de s'assurer que les utilisateurs des messages de statut sont informĂ©s en termes clairs et simples que ce qu'ils affichent sur WhatsApp peut ĂȘtre vu instantanĂ©ment par tous les utilisateurs de WhatsApp partout dans le monde.

69.  Au cours de l'enquĂȘte, WhatsApp a modifiĂ© ses conditions d'utilisation et sa politique de confidentialitĂ© afin de mieux informer les utilisateurs de la nature publique des messages diffusĂ©s. En date de septembre 2012, la politique indiquait, entre autres, ceci :

[Traduction]

Les messages de statut [
] peuvent ĂȘtre vus par les autres utilisateurs du service qui ont votre numĂ©ro de cellulaire dans leur cellulaire et que vous n'avez pas expressĂ©ment bloquĂ©s. Plus prĂ©cisĂ©ment, [
] les messages de statut peuvent ĂȘtre vus partout dans le monde par les utilisateurs de WhatsApp qui ont votre numĂ©ro de cellulaire dans leur tĂ©lĂ©phone intelligent, Ă  moins que vous ayez bloquĂ© la diffusion Ă  ces utilisateurs.

Actuellement, nous n'avons aucun moyen d'offrir diffĂ©rents niveaux de visibilitĂ© pour la diffusion de vos messages de statut parmi les utilisateurs qui ont votre numĂ©ro de cellulaire. Vous reconnaissez et convenez que tout message de statut peut ĂȘtre vu partout dans le monde par les utilisateurs qui ont votre numĂ©ro de cellulaire, alors ne diffusez pas et n'affichez pas de messages de statut ni de photos de profil que vous ne voulez pas partager avec tous.

De façon gĂ©nĂ©rale, si vous ne voulez pas que le monde entier sache ou voie quelque chose, faites en sorte que cela n'apparaisse pas dans un message de statut diffusĂ© par le service. [
] Vous comprenez que, peu importe que ces messages de statut soient publiĂ©s ou non, WhatsApp ne garantit la confidentialitĂ© d'aucun message. [C'est nous qui soulignons]

Recommandations et conclusions

70.  Comme il a Ă©tĂ© dit prĂ©cĂ©demment, suivant le principe 4.3.2, il faut informer la personne au sujet de la collecte, de l'utilisation et de la communication des renseignements personnels et obtenir son consentement. En dĂ©pit des efforts rĂ©cents dĂ©ployĂ©s par WhatsApp pour mettre Ă  jour ses conditions d'utilisation et sa politique de confidentialitĂ©, selon nous, d'autres efforts sont requis pour informer les utilisateurs au sujet de la diffusion potentiellement gĂ©nĂ©rale et non ciblĂ©e des renseignements personnels contenus dans les messages de statut.

71.  Attendu que les conditions d'utilisation et la politique de confidentialitĂ© de WhatsApp ne sont peut-ĂȘtre pas facilement accessibles aux utilisateurs sur les appareils mobiles, et attendu que WhatsApp n'est pas encore en mesure d'offrir aux utilisateurs la possibilitĂ© d'exercer un plus grand contrĂŽle granulaire sur la diffusion des messages de statut, nous recommandions dans notre rapport prĂ©liminaire que WhatsApp signale en temps rĂ©el la diffusion des messages. À notre avis, la notification active ou en temps rĂ©el ferait en sorte que le consentement Ă  l'affichage des messages de statut serait plus valable. Nous comprenons bien sĂ»r que, pour Ă©viter d'interrompre l'utilisation de l'application, les utilisateurs devraient pouvoir contrĂŽler les invites de notification et les paramĂštres par dĂ©faut.

72.  En rĂ©ponse Ă  notre recommandation, WhatsApp a indiquĂ© qu'elle avait ajoutĂ© la notification en temps rĂ©el (p. ex. fenĂȘtres en incrustation) des messages de statut des utilisateurs Ă  son futur plan de mise en Ɠuvre. Selon WhatsApp, la notification en temps rĂ©el sera intĂ©grĂ©e aux futures versions de l'application, Ă  compter du 30 septembre 2013.

73.  Attendu que WhatsApp s'est engagĂ©e Ă  informer les utilisateurs de la diffusion Ă  grande Ă©chelle des renseignements personnels contenus dans les messages de statut au moyen de ses conditions d'utilisation, de sa politique de confidentialitĂ© et de fenĂȘtres en incrustation, nous jugeons que la plainte relative Ă  la communication automatique des messages de statut est fondĂ©e et conditionnellement rĂ©solue.

Stockage hors ligne des messages

Question

74.  En se fondant sur un examen technique de l'application, le Commissariat a dĂ©posĂ© une plainte afin de mener une enquĂȘte pour savoir si WhatsApp enfreint les dispositions de la Loi qui portent sur la conservation. Plus prĂ©cisĂ©ment, le Commissariat a cherchĂ© Ă  dĂ©terminer si WhatsApp avait des lignes directrices adĂ©quates pour rĂ©gir la conservation des messages non livrĂ©s, comme le prĂ©voit le principe 4.5.3 de l'annexe 1 de la Loi.

RĂ©sumĂ© de l'enquĂȘte

75.  Les messages envoyĂ©s par le service WhatsApp sont d'abord transmis aux serveurs de l'entreprise situĂ©s dans des installations sĂ©curisĂ©es Ă  Washington, D.C., et en Virginie, par l'entremise d'un service ordinaire de transmission des donnĂ©es des abonnĂ©s. WhatsApp achemine les messages au destinataire prĂ©vu lorsque celui-ci est en ligne.

76.  WhatsApp ne conserve pas les messages livrĂ©s et dit ne pas tenir de registre ou d'archives des messages transmis. Les messages livrĂ©s ne sont sauvegardĂ©s que sur l'appareil mobile de l'utilisateur, et celui-ci peut les supprimer ou les conserver Ă  sa guise.

77.  Dans les cas oĂč le destinataire prĂ©vu n'est pas en ligne, les messages qui lui sont envoyĂ©s par d'autres utilisateurs de WhatsApp sont stockĂ©s par la sociĂ©tĂ©, en attendant qu'ils soient transmis. WhatsApp peut conserver un message non livrĂ© jusqu'Ă  30 jours, aprĂšs quoi le message est automatiquement supprimĂ©.

78.  Les messages non livrĂ©s sont stockĂ©s sur l'une des quatre partitions de serveur. À l'intĂ©rieur de chaque partition, un fichier est rĂ©servĂ© Ă  chaque utilisateur. Selon WhatsApp, le cloisonnement est assurĂ© pour chaque utilisateur de par la nature mĂȘme du fichier du systĂšme d'exploitation. Dans ses observations au Commissariat, WhatsApp a confirmĂ© que les messages non livrĂ©s n'Ă©taient pas conservĂ©s plus de 30 jours.

79.  Au dĂ©but de l'enquĂȘte, WhatsApp ne fournissait pas d'information aux utilisateurs relativement Ă  sa politique de conservation des renseignements personnels, que ce soit dans ses conditions d'utilisation, sa politique de confidentialitĂ© ou le contrat de licence de l'utilisateur final de l'application sous licence.

Application de la Loi

80.  Pour rendre une dĂ©cision sur cette question, nous avons appliquĂ© les principes 4.5.2, 4.5.3 et 4.8 de l'annexe 1 de la Loi. Le principe 4.5.2 prĂ©voit notamment que les organisations devraient Ă©laborer des lignes directrices et appliquer des procĂ©dures pour la conservation des renseignements personnels. Ces lignes directrices devraient prĂ©ciser les durĂ©es minimales et maximales de conservation. Le principe 4.5.3 stipule entre autres que les organisations doivent Ă©laborer des lignes directrices et appliquer des procĂ©dures rĂ©gissant la destruction des renseignements personnels. Aux termes du principe 4.8, une organisation doit faire en sorte que des renseignements prĂ©cis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles Ă  toute personne.

81.  Attendu que les messages peuvent ĂȘtre archivĂ©s ou conservĂ©s par un utilisateur sur son appareil mobile aprĂšs avoir Ă©tĂ© transmis, et attendu que les communications entre les utilisateurs sont destinĂ©es essentiellement Ă  la messagerie instantanĂ©e, nous estimons que la pĂ©riode de conservation de 30 jours Ă©tablie par WhatsApp pour les messages non livrĂ©s est satisfaisante dans les circonstances.

82.  MalgrĂ© ce qui prĂ©cĂšde, nous nous serions attendus Ă  ce que WhatsApp ait dĂ©crit sa politique gĂ©nĂ©rale en matiĂšre de conservation des renseignements personnels dans ses conditions d'utilisation, sa politique de confidentialitĂ© ou le contrat de licence de l'utilisateur final de l'application sous licence. Comme l'exige le principe 4.8, une personne doit pouvoir obtenir sans efforts dĂ©raisonnables de l'information au sujet des politiques et des pratiques d'une organisation. De plus, vu que la transmission des messages est au cƓur de la gestion des renseignements personnels par WhatsApp, et compte tenu du principe 4.5.2, WhatsApp aurait dĂ» Ă©laborer des lignes directrices et appliquer des procĂ©dures pour la conservation et la destruction des renseignements personnels contenus dans les messages, et en informer les utilisateurs.

Recommandations et conclusions

83.  À la lumiĂšre de ce qui prĂ©cĂšde, nous recommandions dans notre rapport prĂ©liminaire que WhatsApp Ă©labore des lignes directrices et veille Ă  appliquer des procĂ©dures concernant la conservation des renseignements personnels. Nous recommandions en outre que WhatsApp fasse en sorte que des renseignements sur sa politique de conservation concernant le stockage hors ligne des messages soient facilement accessibles.

84.  En rĂ©ponse Ă  nos recommandations, WhatsApp s'est engagĂ©e Ă  retravailler sa politique de conservation des renseignements personnels et Ă  rendre la politique rĂ©visĂ©e accessible au public. WhatsApp a convenu de mettre Ă  jour et d'Ă©toffer ses conditions d'utilisation et sa politique de confidentialitĂ© d'ici le 31 mars 2013 afin de mieux renseigner ses utilisateurs sur ces politiques.

85.  Compte tenu de ce qui prĂ©cĂšde, nous jugeons que la plainte relative Ă  la conservation des messages est fondĂ©e et conditionnellement rĂ©solue.

Sécurité des transmissions

Question

86.  En se fondant sur une analyse technique de l'application, le Commissariat a dĂ©posĂ© une plainte afin de mener une enquĂȘte pour savoir si WhatsApp protĂ©geait adĂ©quatement les renseignements personnels, comme le prĂ©voit le principe 4.7 de l'annexe 1 de la Loi. Plus prĂ©cisĂ©ment, il a Ă©tĂ© allĂ©guĂ© que les messages envoyĂ©s et reçus par l'entremise de WhatsApp n'Ă©taient pas chiffrĂ©s, de sorte que les renseignements personnels contenus dans ces messages pouvaient faire l'objet d'une interception.

RĂ©sumĂ© de l'enquĂȘte

87.  Comme il a Ă©tĂ© dit prĂ©cĂ©demment, le systĂšme de messagerie de WhatsApp est conçu pour remplacer le SMS standard. L'application utilise un service de transmission des donnĂ©es des utilisateurs d'appareils mobiles (plutĂŽt qu'un service tĂ©lĂ©phonique) pour l'envoi et la rĂ©ception de messages instantanĂ©s.

88.  Lorsque nous avons commencĂ© notre enquĂȘte, les messages envoyĂ©s au moyen de l'application n'Ă©taient pas chiffrĂ©s. C'est pourquoi les messages envoyĂ©s et reçus risquaient d'ĂȘtre interceptĂ©s, surtout lorsque l'utilisateur recourait au service Ă  partir de rĂ©seaux WI-FI non protĂ©gĂ©s.

89.  Au cours de l'enquĂȘte, nous avons pu confirmer que les messages que s'envoient les utilisateurs de l'application n'Ă©taient pas sĂ©curisĂ©s. MĂȘme dans les cas oĂč les donnĂ©es Ă©taient envoyĂ©es par l'entremise de ports utilisĂ©s pour les communications https sĂ©curisĂ©es (SSL/TLS), les donnĂ©es personnelles, y compris le contenu des messages des utilisateurs et les numĂ©ros de tĂ©lĂ©phone, Ă©taient clairement visibles.

Application de la Loi

90.  Pour rendre une dĂ©cision sur cette question, nous avons appliquĂ© le principe 4.7 de l'annexe 1 de la Loi. Selon le principe 4.7, les renseignements personnels doivent ĂȘtre protĂ©gĂ©s au moyen de mesures de sĂ©curitĂ© correspondant Ă  leur degrĂ© de sensibilitĂ©. Le principe 4.7.1 stipule que les mesures de sĂ©curitĂ© doivent protĂ©ger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisĂ©es.

91.  Étant donnĂ© que les messages que s'envoient les utilisateurs de l'application peuvent parfois contenir des renseignements personnels sensibles, nous nous serions attendus Ă  ce que WhatsApp Ă©tablisse des mesures de sĂ©curitĂ© adĂ©quates pour garantir la sĂ©curitĂ© de ces messages.

92.  Dans ses observations au Commissariat, WhatsApp a confirmĂ© que les messages envoyĂ©s et reçus au moyen de l'application n'Ă©taient pas chiffrĂ©s, confirmant par la mĂȘme occasion la nĂ©cessitĂ© d'instaurer des mesures pour garantir la sĂ©curitĂ© des messages instantanĂ©s et des autres renseignements personnels joints Ă  ces messages.

93.  RĂ©pondant dans une certaine mesure Ă  nos prĂ©occupations, en septembre 2012, WhatsApp a commencĂ© Ă  ajouter le chiffrement de protocole Ă  son service de messagerie mobile. S'il est appliquĂ© correctement, le chiffrement de bout en bout protĂ©gera adĂ©quatement les messages contre l'interception.

94.  Au moment oĂč notre enquĂȘte s'achevait, WhatsApp utilisait le chiffrement sur plusieurs appareils, entre autres le modĂšle S40 de Nokia, le BlackBerry de Research in Motion, le iPhone de Apple, ainsi que tous les tĂ©lĂ©phones Windows et Android.

Recommandations et conclusions

95.  MalgrĂ© les changements apportĂ©s par WhatsApp en vue de chiffrer les messages des utilisateurs, nous avons constatĂ© au cours de l'enquĂȘte que WhatsApp utilise les adresses MAC des appareils iPhone afin de gĂ©nĂ©rer automatiquement des mots de passe pour l'Ă©change de messages au moyen de son service. Dans le cas des autres tĂ©lĂ©phones intelligents, WhatsApp utilise plutĂŽt le numĂ©ro d'identitĂ© internationale d'Ă©quipement mobile (numĂ©ro IMEI). Les adresses MAC et les numĂ©ros IMEI sont des identifiants propres Ă  chaque tĂ©lĂ©phone qui sont gĂ©nĂ©ralement attribuĂ©s par les fabricants d'appareils.

96.  Compte tenu des risques liĂ©s au dĂ©voilement des numĂ©ros IMEI et des adresses MAC, et attendu que les mĂ©thodes permettant de gĂ©nĂ©rer des mots de passe Ă  l'aide des numĂ©ros IMEI et des adresses MAC sont assez bien connues, leur utilisation en vue de gĂ©nĂ©rer un mot de passe pour le compte de l'utilisateur n'assure pas, selon nous, une sĂ©curitĂ© suffisante pour les renseignements personnels Ă©changĂ©s par l'entremise du service de WhatsApp. Selon nos experts techniques, cette pratique entraĂźne un risque sĂ©rieux que le mot de passe de l'utilisateur soit copiĂ© sans autorisation et que les messages soient interceptĂ©s par un tiers sans que l'utilisateur le sache ou y consente.

97.  Compte tenu de ce qui prĂ©cĂšde, nous recommandions dans notre rapport prĂ©liminaire que WhatsApp Ă©labore de nouveaux protocoles pour la crĂ©ation de mots de passe chiffrĂ©s pour les appareils iPhone. En rĂ©ponse Ă  notre recommandation, WhatsApp a cessĂ© d'utiliser les numĂ©ros IMEI et les adresses MAC pour l'authentification sur toutes les plateformes mobiles. WhatsApp a prĂ©cisĂ© que l'application utilise maintenant une clĂ© de 160 bits gĂ©nĂ©rĂ©e alĂ©atoirement.

98.  Pour confirmer la mise en Ɠuvre du nouveau processus relatif aux mots de passe, nous avons examinĂ© les organigrammes techniques et les descriptions fonctionnelles se rapportant au processus d'authentification de WhatsApp. Nous avons aussi examinĂ© et Ă©tudiĂ© des exemples rĂ©els de ce processus avec l'aide d'experts techniques. Nous voulions comprendre comment fonctionnait la logique sur laquelle repose l'authentification afin de dĂ©terminer si le processus, tel qu'il est conçu par WhatsApp, protĂ©geait suffisamment les renseignements personnels.

99.  Compte tenu des rĂ©sultats de notre enquĂȘte, nous pouvons dire qu'au moment oĂč celle-ci s'achevait, les mesures de sĂ©curitĂ© utilisĂ©es par WhatsApp semblaient correspondre au degrĂ© de sensibilitĂ© des renseignements personnels exposĂ©s au risque. Nous estimons donc que la plainte concernant la sĂ©curitĂ© des transmissions est fondĂ©e et rĂ©solue. Nous invitons cependant WhatsApp Ă  demeurer vigilante lorsqu'il s'agit de la protection des renseignements personnels, Ă©tant donnĂ© que le contexte de menace est en constante Ă©volution.

Conservation des données et fermeture de compte

Question

100.  En se fondant sur un examen technique de l'application, le Commissariat a dĂ©posĂ© une plainte afin de mener une enquĂȘte pour savoir si WhatsApp conservait les renseignements personnels de ses utilisateurs aprĂšs la dĂ©sactivation du compte, contrairement Ă  ce que prĂ©voit le principe 4.5 de l'annexe 1 de la Loi. Plus prĂ©cisĂ©ment, nous avons cherchĂ© Ă  dĂ©terminer si WhatsApp conservait les renseignements personnels de ses utilisateurs mĂȘme lorsque l'application avait Ă©tĂ© dĂ©sinstallĂ©e.

RĂ©sumĂ© de l'enquĂȘte

101.  Au dĂ©but de l'enquĂȘte, Ă  la suite d'examens de l'application, des experts techniques et des utilisateurs allĂ©guaient que WhatsApp conservait les renseignements personnels des abonnĂ©s aprĂšs que ceux-ci avaient supprimĂ© le service de messagerie de leurs appareils mobiles.

102.  Selon ces examens, pour que leurs renseignements personnels soient effacĂ©s, les utilisateurs devaient en faire la demande Ă  WhatsApp par courriel. Cette procĂ©dure, souvent exigeante, n'Ă©tait pas portĂ©e Ă  la connaissance du public, que ce soit dans la foire aux questions de WhatsApp, dans ses conditions d'utilisation ou dans sa politique de confidentialitĂ©.

Application de la Loi

103.  Pour rendre une dĂ©cision sur cette question, nous avons appliquĂ© les principes 4.5.2, 4.5.3 et 4.8 de l'annexe 1 de la Loi. Le principe 4.5.2 prĂ©voit notamment que les organisations devraient Ă©laborer des lignes directrices et appliquer des procĂ©dures pour la conservation des renseignements personnels. Ces lignes directrices devraient prĂ©ciser les durĂ©es minimales et maximales de conservation. Le principe 4.5.3 stipule entre autres que les organisations doivent Ă©laborer des lignes directrices et appliquer des procĂ©dures rĂ©gissant la destruction des renseignements personnels. Aux termes du principe 4.8, une organisation doit faire en sorte que des renseignements prĂ©cis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles Ă  toute personne.

104.  Comme il a Ă©tĂ© expliquĂ© prĂ©cĂ©demment, les messages transmis par WhatsApp ne sont pas conservĂ©s par la sociĂ©tĂ©. WhatsApp ne conserve que les messages non livrĂ©s, et pendant une pĂ©riode maximale de 30 jours seulement en attendant leur livraison, aprĂšs quoi les messages sont automatiquement supprimĂ©s.

105.  Outre les points susmentionnĂ©s, WhatsApp a pour politique d'effacer ou de dĂ©truire tous les renseignements personnels se rapportant Ă  un utilisateur, y compris les renseignements pertinents sur les paiements, 30 jours aprĂšs la cessation du service. Selon WhatsApp, si les renseignements liĂ©s Ă  la facturation, le cas Ă©chĂ©ant, sont conservĂ©s pendant 30 jours aprĂšs la cessation du service, c'est pour faciliter pendant une courte pĂ©riode le renouvellement de l'abonnement. AprĂšs la pĂ©riode de 30 jours consĂ©cutive Ă  l'expiration du compte, un utilisateur peut s'abonner Ă  nouveau Ă  WhatsApp, mais il devra passer une nouvelle fois par toutes les Ă©tapes du processus d'inscription.

106.  Il y a une exception Ă  la pĂ©riode de conservation de 30 jours de WhatsApp : lorsqu'une personne profite d'une pĂ©riode d'essai gratuite d'un an au terme de laquelle elle ne s'abonne pas. Si la personne qui a bĂ©nĂ©ficiĂ© de cet essai gratuit dĂ©cide de ne pas s'abonner aprĂšs un an de service, certains renseignements personnels sur cette personne (entre autres son nom d'utilisateur, son numĂ©ro de tĂ©lĂ©phone et le type de compte) peuvent ĂȘtre conservĂ©s pendant une pĂ©riode maximale d'un an. WhatsApp dit conserver ces renseignements pour s'assurer que la personne qui a profitĂ© de l'essai gratuit ne puisse pas bĂ©nĂ©ficier d'une pĂ©riode d'essai gratuite consĂ©cutive.

107.  MĂȘme si nous estimons que les lignes directrices de WhatsApp en matiĂšre de conservation des renseignements personnels sont satisfaisantes dans l'ensemble, encore une fois, nous nous serions attendus Ă  ce que WhatsApp ait dĂ©crit sa politique de conservation des renseignements personnels dans sa politique de confidentialitĂ© ou d'autres documents facilement accessibles.

108.  Comme l'exige le principe 4.8, une personne doit pouvoir obtenir sans efforts dĂ©raisonnables de l'information au sujet des politiques et des pratiques d'une organisation. Étant donnĂ© que la conservation des donnĂ©es est au cƓur de la gestion des renseignements personnels par WhatsApp, la sociĂ©tĂ© aurait dĂ» Ă©laborer des lignes directrices et appliquer des procĂ©dures pour la conservation et la destruction des renseignements personnels, et en informer les utilisateurs.

Recommandations et conclusions

109.  Compte tenu de ce qui prĂ©cĂšde, nous recommandions dans notre rapport prĂ©liminaire que WhatsApp Ă©labore des lignes directrices et veille Ă  appliquer des procĂ©dures concernant la conservation et la destruction des renseignements personnels. Nous recommandions en outre que WhatsApp fasse en sorte que des renseignements sur sa politique de conservation des donnĂ©es personnelles soient facilement accessibles aux utilisateurs.

110.  Comme il a Ă©tĂ© dit prĂ©cĂ©demment, en rĂ©ponse Ă  nos recommandations, WhatsApp s'est engagĂ©e Ă  retravailler sa politique de conservation des renseignements personnels et Ă  la rendre accessible au public. WhatsApp a convenu de mettre Ă  jour et d'Ă©toffer ses conditions d'utilisation et sa politique de confidentialitĂ© d'ici le 31 mars 2013 afin de mieux renseigner ses utilisateurs sur ces politiques.

111.  Compte tenu de ce qui prĂ©cĂšde, nous jugeons que la plainte relative Ă  la conservation des donnĂ©es des utilisateurs est fondĂ©e et conditionnellement rĂ©solue.