Deux mois après sa mise en place, le partage de données et de numéros de téléphone entre Facebook et WhatsApp fait une pause en Europe. Une décision prise après une demande des gardiens européens des données, groupés dans le G29, de cesser cette opération.
Un pas en avant, puis en arrière. Facebook a répondu à la polémique autour de la récupération de données de son application WhatsApp, en la désactivant temporairement en Europe, deux mois après l'avoir lancée. L'information, confirmée hier à l'AFP, au Monde et à The Verge, est une nouvelle étape dans la passe d'armes entre les autorités européennes et la société américaine. Cette dernière affirme d'ailleurs être « toujours ouverte pour collaborer sur ces questions » avec les responsables de la protection de la vie privée, notamment au Royaume-Uni.
Un partage de données contestable pendant 30 jours
Pour mémoire, fin août, Facebook annonçait que les données de WhatsApp seraient combinées à celle de son réseau social. Une manière de rentabiliser son rachat à 16 milliards de dollars, début 2014. Concrètement, sont partagés le numéro de téléphone de l'utilisateur et quelques autres informations personnelles, avec un consentement limité. Les utilisateurs pouvaient ainsi seulement refuser la collecte pendant 30 jours, en l'indiquant explicitement dans les options de l'application WhatsApp.
Pour Facebook, il s'agit officiellement d'améliorer ses outils anti-spam et de mieux cibler les publicités sur son réseau social. Il n'est donc pas question d'afficher des réclames au sein même de WhatsApp, qui n'en comporte pas depuis sa création. L'intérêt concret de ce croisement de données est la masse d'utilisateurs de chacun de ces services, qui restaient deux silos séparés, chacun avec plus d'un milliard de membres.
Une fronde des autorités européennes
Les réactions des gardiens de la vie privée européens ont été rapides. À l'annonce de cette combinaison de données, le groupement européen des CNIL, le G29, nous affirmait être « vigilant » sur le sujet. Mais c'est l'Allemagne qui a tapé le premier sur ce partage d'informations.
L'autorité de protection de données personnelle germanique a déclaré que cette récupération de données ne reposait sur aucune base juridique, et devait donc être arrêté. Facebook avait répondu, affirmant vouloir faire appel et qu'il respectait bien le droit européen, pourtant tatillon sur les croisements de données d'internautes.
Fin octobre, le G29 se disait préoccupé par la décision soudaine de Facebook de mélanger ces bases, qui correspond à un changement de politique de confidentialité non-concertée. Les CNIL européennes demandaient donc d'obtenir rapidement toutes les informations nécessaires sur le sujet, et de mettre immédiatement fin à cette synchronisation.
Début novembre, c'est au Royaume-Uni que le transfert de données a été mis en pause, après demande de la CNIL britannique. Celle-ci avait d'ailleurs annoncé une enquête dès l'annonce de Facebook, fin août. Contactée sur la suspension temporaire décidée par Facebook, la CNIL rappelle la demande du G29 d'arrêter le partage « jusqu'à ce que des garanties juridiques appropriées puissent être apportées ».
