WhatsApp a communiqué pour rassurer : le récent changement de sa politique de confidentialité n’a rien à voir avec les conversations privées. Alors que de nombreux utilisateurs s’en vont vers Signal et Telegram, la filiale de Facebook l’assure, rien n’a changé. Ou presque.
Si vous utilisez Signal ou Telegram, vous l’avez peut-être constaté ces derniers jours en ouvrant ces applications : un arrivage frais de nouvelles personnes. Que s’est-il passé ? Dans un contexte déjà sensible pour Facebook, l’entreprise a communiqué pour annoncer que les conditions d’utilisation de WhatsApp changeaient.
Comme nous l’avons déjà indiqué, les modifications ont trait à la manière dont la messagerie communique avec les entreprises, Facebook souhaitant clairement renforcer ce segment. En outre, les utilisateurs européens ne sont pas concernés, même si une notification est apparue quand même sur votre écran. Au sein des frontières européennes, les conditions restent les mêmes que depuis plusieurs années.
Un ensemble de facteurs a cependant provoqué un début d’hémorragie des utilisateurs, propulsant Signal et Telegram en tête des téléchargements gratuits sur Android comme sur iOS, au-delà d’applications extrêmement populaires comme Tik-Tok, YouTube, Instagram, Snapchat ou encore Netflix.
Et il y a des conséquences, tant pour Facebook que chez d’autres entreprises, certaines n’ayant pas manqué de réagir à leur manière.
Une conjonction de facteurs
L’exercice de communication de WhatsApp s’est d’abord déroulé dans un contexte spécifique. Des deux côtés de l’Atlantique, la tension monte contre les GAFAM. En Europe, les yeux sont tournés vers les Digital Services Act (DSA) et Digital Market Act (DMA), deux règlements présentés mi-décembre par les commissaires Thierry Breton (au Marché Intérieur) et Margrethe Vestager (à la Concurrence). « Nous allons réguler l'espace numérique », affirmait ainsi Thierry Breton aux Echos.
Aux États-Unis aussi le ton monte. De manière beaucoup plus diffuse certes, mais une prise de conscience bipartisane s’installe durablement au Congrès. Pour preuve, le fameux rapport établi par une sous-commission de la Chambre des représentants, aux conclusions radicales : les GAFA présentent de nombreux comportements problématiques, et le cadre doit être copieusement durci pour en réguler l’activité. Le rapport allait même jusqu’à proposer le démantèlement pour séparer des activités dont les connexions aujourd’hui sont dénoncées, comme la place de marché d’Amazon, sur laquelle l’entreprise est elle-même présente.
Depuis le 1er janvier, Apple a également activé les fiches d’informations sur la vie privée pour les applications de son App Store. Depuis, une information a beaucoup circulé : une comparaison des données aspirées par quatre applications. On peut y voir Signal n’en réclamer aucune, iMessage quelques-unes, WhatsApp nettement plus et Messenger en avaler une quantité phénoménale.
Certes WhatsApp n’est pas Messenger, loin de là. S’il fallait rappeler une seule différence, ce serait le chiffrement de bout en bout : Facebook peut lire les messages de Messenger, pas ceux de WhatsApp. En tout cas pour le moment.
Il y a, plus globalement, une sensibilisation à la vie privée qui progresse. Une avancée lente et laborieuse, mais une prise de conscience croissante quand même : le seul fait qu’un service soit gratuit n’est plus le seul critère à prendre en compte. Ce, même si les autres problématiques paraissent toujours aussi nébuleuses chez certaines catégories d’utilisateurs, notamment les plus jeunes.
Cette prise de conscience est due, au moins en partie, à Facebook. Les multiples scandales des trois dernières années, Cambridge/Analytica en tête, ont pris une telle ampleur – notamment par leur proximité – qu’ils ont débordé dans la presse plus généraliste. Netflix s’est même emparé de l’affaire Cambridge/Analytica pour en faire un documentaire (The Great Hack).
WhatsApp clarifie sa position
Il y a quelques jours, WhatsApp a donc publié un message pour avertir les utilisateurs de la plupart des régions du monde que les conditions d’utilisation allaient changer. Des informations vont être partagées avec Facebook, alors même qu’un réglage permettait jusqu’à présent de bloquer ce transfert. Le refus de ces conditions d’utilisation entrainera l’impossibilité d’utiliser le service à compter du 8 février.
Les boucliers se sont rapidement levés, dénonçant une pratique d’autant plus visible que le contexte l’exposait comme une « goutte de trop ». Dans les jours qui ont suivi, le nombre d’inscriptions à Signal et Telegram a grimpé en flèche. WhatsApp a donc fini par réagir.
Dans une page dédiée (et via un tweet), la filiale de Facebook tient donc à rappeler ses fondamentaux :
- Ni WhatsApp ni Facebook ne peuvent lire les messages ou écouter les appels sur WhatsApp, dans quelque contexte que ce soit. Conséquence du chiffrement E2E que WhatsApp s’engage à ne jamais affaiblir.
- L’historique des destinataires de messages ou d’appels n’est pas conservé : « conserver ces données pour deux milliards d’utilisateurs serait un risque à la fois pour la confidentialité et la sécurité ».
- La localisation partagée dans une conversation n’est visible ni de WhatsApp ni de Facebook.
- Les contacts ne sont pas partagés avec Facebook.
WhatsApp ajoute que l’on peut télécharger un rapport de compte à tout moment. Il s’agira d’une collection des informations que le service engrange. Chiffrement de bout en bout oblige, le contenu de messages n’y apparait pas.
La filiale précise, « pour encore plus de confidentialité », que l’on peut paramétrer les discussions pour que les messages envoyés s’effacent d’eux-mêmes au bout d’un certain temps. La formulation est étrange : pourquoi parler de confidentialité supplémentaire si le chiffrement garantit qu’aucun tiers ne lira les échanges ? À moins que WhatsApp évoque les destinataires de l’utilisateur.
Le cœur du message est cependant que les nouvelles conditions ne s’appliquent que si une personne contacte une entreprise via WhatsApp. Une fonction que l’éditeur a certes renforcée ces deux dernières années – notamment en permettant l’affichage de catalogues interactifs – mais qui reste optionnelle. Il le répète : rien ne change dans un cadre d’usage privé.
Mais alors, qu’est-ce qui a vraiment changé ?
En pratique, pas grand-chose, et en Europe, rien. Sur le Vieux Continent, les utilisateurs sont protégés par le RGPD. En outre, WhatsApp avait changé ses conditions d’utilisation en Europe début 2018, après avoir écopé d’une amende européenne de 110 millions d’euros en mai 2017 pour avoir fourni des « renseignements dénaturés » lors du rachat de WhatsApp, puis d’une mise en demeure de la CNIL en décembre de la même année.
Rappelons d’abord qu’en 2016, Facebook avait annoncé que certaines informations périphériques de WhatsApp allaient dorénavant tomber dans l’escarcelle des informations servant à personnaliser la publicité sur le réseau social.
Dans le sillage de l’annonce, 30 jours étaient laissés aux utilisateurs pour cocher une option empêchant cette utilisation des données. Cette différence est capitale : Facebook collectait quand même les données, mais ne les utilisait pas pour ses publicités.
Le 8 février, le blocage optionnel perdra son effet, et les données ainsi récupérées pourront donc être utilisées. Pour l’immense majorité des utilisateurs, la bascule n’aura pas d’effet, car l’option n’avait été que peu mise en avant en 2016, et beaucoup ignoraient son existence. En outre, toutes les personnes arrivées sur WhatsApp après cette date ne l’ont jamais connue, et leurs données sont utilisées depuis plusieurs années.
Qu’il s’agisse de l’option ou du changement annoncé la semaine dernière, on est donc dans un défaut de communication. Quand de telles modifications sont faites sur un service, toute personne devrait être à même de comprendre les enjeux sans avoir fait d’études en informatique ou en droit. Le rattrapage récent de WhatsApp est précisément ce qui aurait dû être publié d’emblée.
C’est d’ailleurs l’avis de l’Electronic Frontier Foundation : « La bonne nouvelle est que, globalement, cette mise à jour ne fait aucun changement extrême dans la manière dont WhatsApp partage ses données avec sa société mère Facebook. La mauvaise nouvelle est que ces changements extrêmes ont en fait eu lieu il y a quatre ans ». La fondation estime que la réaction actuelle est due en grande partie à la découverte de ce changement par les utilisateurs.
Même avis chez Proton, où on regrette l’évolution du service, qui « complète le glissement de WhatsApp d’un service de messagerie relativement privé à un simple morceau du panoptique de Facebook, ce que les détracteurs ont anticipé depuis que Facebook a racheté l’entreprise en 2014. Ce changement signifie que les plus de deux milliards d’utilisateurs de Facebook devront fournir leurs données personnelles à la même entreprise célèbre pour son dédain pour la vie privée ». Proton compte la totalité des utilisateurs de WhatsApp même si, encore une fois, les Européens ne sont pas concernés.
Les beaux jours de Signal et Telegram
Plusieurs jours après l’annonce initiale de WhatsApp, le soufflé ne retombe toujours pas. Les deux concurrents de WhatsApp que sont Signal et Telegram ont eu largement de quoi se réjouir, tant leur nombre de téléchargements a augmenté.
Chez Signal, on publiait cette nuit des chiffres éloquents : sur le Play Store de Google, la base installée est passée de plus de 10 millions à plus de 50 millions. On est évidemment loin du 1,5 milliard d’utilisateurs de WhatsApp, mais cet appel d’air pourrait enfler, au fur et à mesure que l’application pénètre des marchés dans lesquels elle n’avait pas pris, notamment le Brésil, où WhatsApp règne en maitre. En outre, il ne s’agit que des seuls téléchargements pour Android, le chiffre n’est pas donné sur l’App Store d’iOS.
Il faut dire que Signal a bénéficié de jolis petits coups d’accélérateurs de personnalités bien en vue. À commencer par Elon Musk, qui le 7 janvier a publié un tweet aussi lapidaire qu’efficace : « Use Signal ». Et pourtant, le message n’a pas été compris de tout le monde : des investisseurs ont acheté massivement des actions de Signal Advanced, dont l’action est passée de 60 cents le 4 janvier à 70,85 dollars deux jours plus tard. L’entreprise, spécialisée dans la fabrication de composants, avait rapporté n’avoir généré aucun chiffre d’affaires en 2015 et 2016. En quelques jours, sa valeur a dépassé les 3 milliards de dollars.
Jack Dorsey, cofondateur et PDG de Twitter, a publié le 10 janvier une capture de Signal en première position dans le classement des applications gratuites sur l’App Store. Il s’en réjouissait manifestement, puisque l’image était accompagnée d’un cœur rouge.
Chez Telegram, on annonce l’arrivée de 25 millions de nouveaux utilisateurs en à peine 24 heures après l’annonce de WhatsApp, lui faisant dépasser la barre des 500 millions d’utilisateurs en fin de semaine dernière. 38 % des arrivants venaient d’Asie, 27 % d’Europe, 21 % d’Amérique latine et 8 % du Moyen-Orient et d’Afrique du Nord.
Ce qui fait dire à Pavel Durov, fondateur de Telegram : « Les gens ne veulent plus échanger leur vie privée contre des services gratuits. Ils ne veulent plus être tenus en otages par des monopoles technologiques qui ont l’air de penser qu’ils peuvent n’importe quoi, tant que leurs applications ont une masse critique d’utilisateurs ».
Contrairement à Signal, Telegram ne chiffre pas « par défaut »
Si la communication de Telegram est très clairement orientée vers la vie privée et la liberté – Durov a réaffirmé par exemple que la société n’avait jamais transmis la moindre donnée à un tiers, et on se souvient des tensions en Russie – il ne faut pas oublier que l’application ne fait pas jeu égal avec Signal. Les conversations dans Telegram ne sont en effet pas chiffrées de bout en bout par défaut. Elles ne le sont que sur celles déclarées comme « échanges secrets », qui ne peuvent d’ailleurs plus être synchronisés entre les appareils.
En outre, Telegram collecte plus de données, déploie moins de fonctionnalités de sécurité et, surtout, son algorithme de chiffrement est exotique, contrairement à celui de Signal, qui fait consensus auprès des experts en cryptographie et en sécurité informatique (voir aussi ce comparatif pour plus de précisions sur les différentes messageries). Le fait que les applications soient open source n’y change rien.
Citons une autre différence capitale entre Signal et Telegram : le premier est géré par une fondation à but non lucratif, l’autre par une entreprise qui cherche désormais à monétiser son application. Elle évoquait récemment comment elle pourrait y parvenir, en fournissant par exemple des fonctions premium aux entreprises et surtout en insérant des publicités dans les canaux de conversation. Les discussions classiques et en groupes ne seraient pas concernées, mais certains y voient un pas dans la mauvaise direction.
D’autres ont essayé également d’avancer leurs billes pour profiter de cette ambiance échaudée. C’est le cas de Microsoft, qui le 9 janvier a publié un tweet pour rebondir : « Skype respecte votre vie privée. Nous nous engageons à garder vos données personnelles privées et à ne pas les vendre à des tiers ».
Mais il faut rappeler – et c’est un point capital – que Skype n’a ni les conditions d’utilisation de Telegram ni le chiffrement de bout en bout de Signal. Le fait de préserver les données personnelles et de ne pas les revendre ne signifie pas pour autant que le service peut se hisser aux côtés des plateformes de communication les plus vertueuses.
La Turquie attaque, l’Inde proteste et l’Italie fronce les sourcils
La Turquie, de son côté, a lancé une enquête contre Facebook et WhatsApp au sujet des nouveaux termes de ses conditions d’utilisation, via son organe de lutte contre les monopoles. Le même régulateur a annoncé, selon Bloomberg, que la mise en application de ces conditions était bloquée jusqu’à nouvel ordre.
Les intentions de la Turquie ne sont toutefois pas claires. Le président du pays, Recep Tayyip Erdoğan, a une position tranchée sur les messageries, réseaux sociaux et autres plateformes d’échanges. En juillet dernier, il déclarait aux membres de son parti que la guerre était déclarée à des services comme YouTube, Twitter et Netflix pour « éradiquer l’immoralité » qu’il y estime rampante.
En Inde, une pétition a été déposée devant la Haute Cour de Dehli, demandant que le gouvernement se penche sur la question, pour empêcher tout partage des données de WhatsApp avec un tiers, même s’il s’agit de Facebook (ce que fait pourtant l’application depuis des années). Selon le Times of India, le gouvernement indien est déjà en train d’examiner la situation : « Nous rassemblons des détails », a ainsi indiqué une source. L’Inde est actuellement le plus gros marché de WhatsApp avec plus de 400 millions d’utilisateurs.
Même en Europe, alors que les utilisateurs ne sont pas concernés, les sourcils se froncent. En Italie, le GPDP a ainsi annoncé avoir contacté l’European Data Protection Board (EDPB) pour transmettre ses inquiétudes au sujet des nouvelles conditions. La CNIL italienne explique sur son site qu’en l’état actuel, les utilisateurs ne peuvent comprendre les changements introduits par les nouvelles conditions, pas plus que les traitements de données personnelles qui auront lieu après le 8 février. Indélicatesse face au RGPD, qui impose que les finalités des traitements soient clairement exposées afin que l’utilisateur puisse donner un consentement éclairé.
S’agit-il d’un mouvement pérenne ?
Difficile pour l’instant de le dire. Bien que le contexte aille progressivement vers une sensibilisation des populations aux questions de vie privée, ce combat est bien loin d’être gagné. Plusieurs facteurs jouent, dont le principal est l’inertie.
Comment ne pas penser aux premières révélations d’Edward Snowden en 2013 ? En dépit de nombreuses informations « chocs », les habitudes ont peu évolué chez le grand public, en dépit de ses propres recommandations déjà à l’époque d’utiliser Signal.
L’inertie joue à plein régime, tout particulièrement parce qu’une fois les conversations enclenchées – surtout en groupes – il devient difficile de faire déménager sa famille, ses amis et le reste de ses relations, personnelles ou professionnelles. Signal a cela dit expliqué sur Twitter comment faire migrer des groupes vers sa propre messagerie :
A lot of people have been asking how to move their group chats from other apps to Signal, and Signal group links are a great way to get started. Drop a group link into your former chat app of choice like you're dropping the mic on the way out. pic.twitter.com/q49DeZufBG
— Signal (@signalapp) January 7, 2021
Car c’est la grande force de WhatsApp, disponible à peu près partout et moins rattaché à Facebook que Messenger. Cette (très relative) indépendance lui permet notamment de proposer des inscriptions ne réclamant pas de compte Facebook. Comme d’autres messageries, le numéro de téléphone suffit. Et avec une telle base d’utilisateurs, quand « tout le monde est dessus », il n’est pas si simple de trancher les liens établis, tout en perdant l’historique des échanges.
Certains mettent également en garde contre le prosélytisme qui pourrait s’emparer soudain d’une partie de ceux qui attendaient depuis longtemps que le vent tourne. C’est le cas de Thomas Fourmeux qui, dans un billet de blog, demande aux « rabat-joie de la protection et de la vie privée » de ne pas sauter sauvagement sur les nouveaux venus pour les enguirlander parce qu’ils ne poussent pas assez loin le changement : « Quoi, tu passes à Signal, mais tu te sers encore de Gmail ? ».
Reste que la communication de WhatsApp aura été un fiasco. Même si rien ne devait changer au-delà du 8 février, le message est bien mal passé et est tombé au mauvais moment. Dans un sens ou dans l’autre, il est complexe d’arrêter un mouvement tel que celui qui a commencé, et WhatsApp espère très probablement un essoufflement face au « danger » de revoir ses habitudes.
Enfin, pour celles et ceux qui se poseraient la question, il est possible d’exporter ses données de conversation et de clôturer son compte. Dans le premier cas, on ne pourra le faire que depuis l’appareil où est installé WhatsApp (donc pas depuis la version web ou Desktop) et une conversation à la fois. Il faut se rendre dans le panneau d’information de chacune puis aller jusqu’en bas de l’écran pour appuyer sur « Exporter discussion ». On pourra alors choisir d’inclure ou non les médias.
Quant à la suppression, elle se trouve dans les paramètres de l’application, dans la section Compte. Le numéro de téléphone sera demandé pour validation. Notez que WhatsApp garde les informations jusqu’à 90 jours après la suppression, pour des questions de système de sauvegarde. Elles ne peuvent cependant pas être récupérées. Au-delà, des copies de certaines informations peuvent rester dans les bases de données, mais WhatsApp assure qu’elles sont décorrélées de toute donnée identifiante.
