Nouvelles

Communiqué

À la suite d'une enquête d'autorités de protection des données, la question de la transgression par WhatsApp de lois sur la protection des renseignements personnels est en partie réglée

Les responsables canadiens et néerlandais de la protection des données rendent publiques les conclusions d'une enquête sur la populaire application mobile

Ottawa (Canada) et La Haye (Pays Bas), le 28 janvier 2013 — Le Commissariat Ă  la protection de la vie privĂ©e du Canada (Commissariat) et l’autoritĂ© nĂ©erlandaise de protection des donnĂ©es (College bescherming persoonsgegevens [CBP]) ont rendu publiques aujourd'hui les conclusions d’une enquĂŞte concertĂ©e sur le traitement des renseignements personnels par WhatsApp Inc., sociĂ©tĂ© californienne qui conçoit des applications mobiles.

L’enquĂŞte coordonnĂ©e est une première mondiale : deux autoritĂ©s nationales de protection des donnĂ©es ont examinĂ© de concert les pratiques de protection des renseignements personnels d’une entreprise ayant des centaines de millions de clients dans le monde. Cette collaboration marque un tournant dans la protection de la vie privĂ©e Ă  l’échelle mondiale.

« Le Commissariat est très fier d’avoir pris part Ă  cette première mondiale importante avec son homologue nĂ©erlandais, particulièrement dans le contexte actuel, un monde de plus en plus virtuel, mobile et sans frontière, a dĂ©clarĂ© Jennifer Stoddart, commissaire Ă  la protection de la vie privĂ©e du Canada. Grâce Ă  notre enquĂŞte, WhatsApp apporte des modifications Ă  son application et s’est engagĂ©e Ă  en apporter d’autres, afin de mieux protĂ©ger les renseignements personnels de ses utilisateurs. Â»

Jacob Kohnstamm, prĂ©sident de l’autoritĂ© nĂ©erlandaise de protection des donnĂ©es, ajoute : « Mais nous ne sommes pas encore entièrement satisfaits. L’enquĂŞte a rĂ©vĂ©lĂ© que les utilisateurs de WhatsApp â€” sauf les utilisateurs de l’iPhone ayant le logiciel iOS6 â€” n’ont d’autre choix que de permettre l’accès Ă  la totalitĂ© de leur carnet d’adresses pour pouvoir utiliser l’application. Le carnet d’adresses contient les numĂ©ros de tĂ©lĂ©phone des utilisateurs et des non-utilisateurs. Cette absence de choix va Ă  l’encontre des lois nĂ©erlandaise et canadienne sur la protection de la vie privĂ©e. Les utilisateurs de mĂŞme que les non-utilisateurs devraient pouvoir exercer un contrĂ´le sur leurs donnĂ©es personnelles, et les utilisateurs doivent pouvoir dĂ©cider en toute libertĂ© quels renseignements sur leurs contacts ils souhaitent partager avec WhatsApp. Â»

Principales conclusions et résultats

L’enquête portait sur la populaire plateforme de messagerie mobile de WhatsApp, qui permet aux utilisateurs d’envoyer et de recevoir des messages instantanés par Internet sur divers appareils mobiles. Il a été établi que WhatsApp enfreignait les lois néerlandaise et canadienne sur la protection de la vie privée, et l’entreprise a pris des mesures pour donner suite à plusieurs recommandations afin de rendre son produit plus sécuritaire du point de vue de la protection des renseignements personnels. Pour le moment, toutefois, certains problèmes n’ont pas été entièrement réglés.

L’enquĂŞte a rĂ©vĂ©lĂ© que WhatsApp transgressait certains principes acceptĂ©s mondialement en matière de protection des renseignements personnels, principalement en ce qui a trait Ă  la conservation, Ă  la protection et Ă  la communication des donnĂ©es personnelles. Par exemple :

  • Pour faciliter la communication entre les utilisateurs de l’application, WhatsApp a recours au carnet d’adresses de l’utilisateur pour enrichir la liste de contacts de ses abonnĂ©s. Après que les utilisateurs ont consenti Ă  l’utilisation de leur carnet d’adresses, tous les numĂ©ros de tĂ©lĂ©phone enregistrĂ©s dans leur appareil mobile sont transmis Ă  WhatsApp pour faciliter l’identification d’autres utilisateurs de l’application. Au lieu de supprimer les numĂ©ros de cellulaire des non-utilisateurs, WhatsApp les conserve (sous une forme condensĂ©e). Cette pratique contrevient aux lois canadienne et nĂ©erlandaise sur la protection de la vie privĂ©e, selon lesquelles on ne peut conserver les renseignements qu’aussi longtemps qu’ils sont nĂ©cessaires aux fins dĂ©terminĂ©es. Seuls les utilisateurs de l’iPhone ayant le logiciel iOS6 peuvent ajouter manuellement des contacts, au lieu de laisser les serveurs de l’entreprise tĂ©lĂ©charger automatiquement les numĂ©ros de cellulaire enregistrĂ©s dans leur carnet d’adresses.
  • Lorsque nous avons commencĂ© notre enquĂŞte, les messages envoyĂ©s au moyen du service de messagerie de WhatsApp n’étaient pas chiffrĂ©s et risquaient par consĂ©quent d’être interceptĂ©s, surtout lorsqu’ils Ă©taient envoyĂ©s Ă  partir de rĂ©seaux Wi-Fi non protĂ©gĂ©s. En septembre 2012, donnant suite dans une certaine mesure Ă  notre enquĂŞte, WhatsApp a commencĂ© Ă  utiliser le chiffrement pour son service de messagerie mobile.
  • Au cours de l’enquĂŞte, nous avons constatĂ© que WhatsApp gĂ©nĂ©rait des mots de passe pour l’échange de messages en utilisant des renseignements associĂ©s aux appareils, qui peuvent ĂŞtre assez facilement rĂ©vĂ©lĂ©s. Ă€ cause de cette pratique, il y avait un risque qu’un tiers envoie et reçoive des messages au nom des utilisateurs Ă  l’insu de ces derniers. WhatsApp a renforcĂ© le processus d’authentification dans la toute dernière version de l’application. Le processus consiste Ă  utiliser une clĂ© plus sĂ©curitaire gĂ©nĂ©rĂ©e alĂ©atoirement au lieu des adresses MAC (Media Access Control) ou des numĂ©ros IMEI (International Mobile Station Equipment Identity) (qui identifient chaque appareil utilisant un rĂ©seau Ă  l’aide d’un numĂ©ro unique) pour attribuer des mots de passe Ă  l’appareil en vue de l’échange de messages au moyen de l’application. Tous ceux qui ont tĂ©lĂ©chargĂ© WhatsApp, qu’ils soient ou non des utilisateurs actifs, devraient utiliser la version la plus rĂ©cente pour bĂ©nĂ©ficier de cette amĂ©lioration sur le plan de la sĂ©curitĂ©.
Prochaines Ă©tapes

Le Commissariat et le CBP ont travaillé en étroite collaboration mais ont présenté des rapports distincts, afin de tenir compte des lois sur la protection des données des deux pays (Loi sur la protection des renseignements personnels et les documents électroniques [LPRPDE] pour le Canada et Wet bescherming persoonsgegevens [Wbp] pour les Pays-Bas). Après la publication de leurs rapports de conclusions respectifs, le Commissariat et le CBP continueront d’examiner les questions en suspens de manière indépendante.

Après une enquĂŞte, la loi nĂ©erlandaise sur la protection des donnĂ©es prĂ©voit une deuxième phase, au cours de laquelle le CBP dĂ©terminera si les manquements Ă  la loi se poursuivent et dĂ©cidera si d’autres mesures d’application de la loi s’imposent. Le cadre juridique nĂ©erlandais permet de faire appliquer la loi sur la protection de la vie privĂ©e en infligeant des sanctions.

En vertu de la loi canadienne, la LPRPDE, le Commissariat surveillera les progrès accomplis par l’entreprise pour respecter les engagements pris pendant l’enquête. Dans la plupart des cas, les sociétés s’efforcent de respecter leurs obligations, et WhatsApp a démontré sa volonté à donner entièrement suite aux recommandations du Commissariat. Contrairement au CBP, le Commissariat n’a pas le pouvoir de rendre des ordonnances.

- 30 -

Les versions intégrales des rapports de conclusions des Pays-Bas et du Canada peuvent être consultées en ligne à www.priv.gc.ca et à www.dutchdpa.nl.

Personne-ressource Ă  l’intention des mĂ©dias :

Scott Hutchinson
Commissariat à la protection de la vie privée du Canada
01-613-947-7261
scott.hutchinson@priv.gc.ca

Lysette Rutgers et Merel Eilander
Autorité néerlandaise de protection des données
(031) (70) - 888 8555
(031) (6) 233 81892 ou (031) (6) 116 1982
l.rutgers@cbpweb.nl ou m.eilander@cbpweb.nl