Pourquoi WhatsApp et Facebook veulent notre carnet de contacts ?

Il y a un an, je me laissais convaincre par des amis d’adopter la messagerie instantanée WhatsApp. Les arguments étaient assez clairs : la possibilité d’échanger des messages dans des groupes, en utilisant de la connexion data chiffrée, un mode de fonctionnement reposant sur les numéros de téléphone comme identifiants ce qui permet de lier les numéros de téléphone de son carnet de contacts avec ceux qui sont présents chez WhatsApp : la simplicité et l’efficacité, la confidentialité, valeurs qui étaient mises en avant par les créateurs de WhatsApp.
Depuis un certain temps, Facebook a racheté ce réseau social et l’équipe fondatrice avait été intégrée aux équipes Facebook. Et nous assistons maintenant au départ du dernier cofondateur de WhatsApp qui claque la porte. Les raisons invoquées doivent alerter tout utilisateur de ce moyen de communication :

https://www.francetvinfo.fr/internet/reseaux-sociaux/facebook/en-desaccord-avec-facebook-sur-le-traitement-des-donnees-personnelles-le-cofondateur-de-whatsapp-demissionne_2732033.html
http://www.phonandroid.com/whatsapp-le-cofondateur-quitte-facebook-tres-remonte-contre-le-partage-de-donnees-personnelles.html

Je me suis donc interrogé pour savoir quelle était la faille et je suis arrivé à la conclusion suivante : l’accès à notre carnet de contacts/numéros de téléphone est le Graal pour ce genre de sociétés. L’accès à ce carnet est indispensable au service WhatsApp car ce sont les numéros de téléphones qui sont les identifiants. Du coup, WhatsApp pompe littéralement et de manière périodique tout le contenu des contacts de nos téléphones pour voir si certains d’entre eux sont des abonnés WhatsApp et ainsi les présenter automatiquement comme tels dans l’app WhatsApp. Cela part d’une bonne intention, mais la question est de savoir : est-ce que WhatsApp stocke et traite les données de notre carnet de contacts ?
Là est le gros risque. Sur un réseau social comme Facebook ou Twitter, nous choisissons nos contacts : famille, amis, collègues, sociétés etc… Il y a des contacts que l’on va établir naturellement sur ces réseaux sociaux et d’autres que l’on gardera plus intimement, voire que l’on va éviter d’y mettre. Mais en utilisant notre carnet de contact, nous n’avons pas la possibilité de choisir quels contacts sont partagés à WhatsApp. Et notre carnet de contact est plein de renseignements :

  • Il contient tous nos contacts perso., famille, collègues, rencontres d’un soir.
  • Il contient les numéros de nos médecins généralistes, dentistes, oncologues…
  • Il contient les numéros des sociétés/artisans avec qui on a des contrats/échanges.

Le numéro de téléphone devient l’identifiant massivement utilisé par tout le monde et à partir d’un numéro, il est facile de retrouver à qui il appartient, surtout quand on s’appelle Facebook : Ce n’est pas pour rien que Facebook, sous couvert de sécurité, nous demande de renseigner notre numéro de téléphone.

Du coup je me suis demandé ce que WhatsApp dit à propos de l’usage des données : https://www.whatsapp.com/legal/#key-updates

On y retrouve les éléments marqués noir sur blanc (liste non exhaustive) :

Carnet d’adresses. Conformément aux lois applicables, vous nous fournissez régulièrement les numéros de téléphone des utilisateurs de WhatsApp et de vos autres contacts figurant dans le carnet d’adresses de votre téléphone, y compris ceux des personnes qui utilisent nos Services et de vos autres contacts.

Vos informations de compte. Vous fournissez votre numéro de téléphone mobile et des informations de base (y compris un nom de profil) pour créer un compte WhatsApp. Conformément aux lois applicables, vous nous fournissez régulièrement des numéros de téléphone dans le carnet d’adresses de votre téléphone, y compris ceux des personnes qui utilisent nos Services et de vos autres contacts. Vous pouvez nous fournir une adresse e-mail. Vous pouvez également ajouter d’autres informations dans votre compte, comme une photo de profil et des informations à votre sujet.

Informations à votre sujet fournies par des tiers. Nous recevons des informations à votre sujet de la part d’autres utilisateurs et entreprises. Par exemple, lorsque des utilisateurs ou des entreprises que vous connaissez utilisent nos Services, ils peuvent fournir votre numéro de téléphone, votre nom et d’autres informations (comme des informations de leur carnet d’adresse mobile ou, dans le cas d’entreprises, des informations supplémentaires vous concernant, telles que des identifiants uniques), et vous pouvez fournir les leurs, ou ils peuvent vous envoyer un message, vous appeler ou envoyer des messages à des groupes dont vous faites partie. Nous exigeons que chaque utilisateur et chaque entreprise soit légalement autorisé à recueillir, à utiliser ou à partager vos informations avant de nous les fournir.

Bien, au moment où j’écris ces lignes, WhatsApp ne communique à priori pas à des tiers nos carnets de contacts. Dans le cadre de la relation WhatsApp et Facebook, ils ont précisé :

À l’heure actuelle, WhatsApp partage un nombre limité de catégories d’informations avec les entités Facebook. Ces données comprennent le numéro de téléphone que vous avez vérifié lorsque vous vous êtes inscrit(e) à WhatsApp, certaines informations relatives à votre appareil (son identifiant, la version du système d’exploitation, la version de l’application, des informations sur la plate-forme, l’indicatif de pays de l’appareil mobile, le code de réseau et des indicateurs pour le suivi des options de contrôle et d’acceptation de mise à jour), et certaines informations sur l’utilisation (la date à laquelle avez utilisé WhatsApp pour la dernière fois, celle à laquelle vous avez enregistré votre compte pour la première fois, comment vous utilisez vos fonctionnalités et la fréquence à laquelle vous les utilisez). Dans tous les cas, les données sont partagées en toute sécurité et sont gardées au sein des entités Facebook. De plus, les utilisateurs d’autres services proposés par les produits des entités Facebook ne voient pas les informations partagée

Et avec le récent RGPD européen, ils précisent :

*Nous ne partageons pas de données afin d’améliorer les produits Facebook sur la plate-forme et d’offrir de meilleures expériences publicitaires sur Facebook. Aujourd’hui, Facebook n’utilise pas les informations de votre compte WhatsApp pour améliorer votre expérience avec les produits Facebook ni pour vous proposer des publicités Facebook plus ciblées sur sa plateforme. C’est le résultat de discussions avec le Commissaire irlandais chargé de la protection des données et d’autres autorités responsables de la protection des données en Europe. Nous cherchons constamment de nouvelles manières d’améliorer votre expérience WhatsApp et des produits des sociétés Facebook que vous utilisez. Si, à l’avenir, nous décidons de partager de telles données avec les entités Facebook à cette fin, nous conclurons d’abord un accord avec le Commissaire irlandais chargé de la protection des données afin d’établir un mécanisme qui permette une telle utilisation. Nous vous informerons des nouvelles expériences mises à votre disposition et de nos pratiques concernant l’utilisation de vos informations.

On notera que la porte est toute sauf fermée (la formulation est très claire sur les possibilités futures) et aussi l’impossibilité de le vérifier en pratique : les scandales à la « Cambridge Analytica » montrent toutes les limites du législateur tant que l’on n’a pas accès au code source Facebook et WhatsApp pour vérifier ce qu’il se passe réellement sur ces plateformes.

Avec le départ du dernier cofondateur de WhatsApp, je conclus que la politique de traitement de données de WhatsApp est en train de changer et que les liens avec Facebook grandissent. A ce titre, j’ai déjà fermé mon compte.

Est-ce qu’il y a des offres alternatives ? La réponse est oui, avec telegram par exemple, mais la plupart souffrent du même défaut : le code source n’est pas accessible et on doit croire sur parole ce qui est fait. En ce qui me concerne, j’ai choisi de tester Signal qui est open source et vous pouvez ainsi m’y retrouver : https://signal.org

A la différence des autres, Signal est open source et on peut vérifier ce qui est fait. Enfin, certains le font (moi je ne prends pas le temps malheureusement). Sur la question de l’utilisation des numéros de contact, c’est parfaitement documenté par Signal : https://signal.org/blog/private-contact-discovery/

Est-ce que Signal est parfait ? Non et le fait qu’il permette probablement des communications totalement chiffrées et invisibles des autorités pose aussi question. Toutefois, je n’ai pas l’impression de donner mes données personnelles à des entités comme Facebook qui sauront les utiliser contre/pour moi à un moment donné.

Les commentaires sont clos.