Des logos WhatsApp sur un téléphone mobile. | NACHO DOCE / REUTERS

Les autorités européennes de protection des données personnelles (le G29), dont fait partie la CNIL française, ont publiquement demandé, vendredi 28 octobre, à WhatsApp de cesser de partager des informations sur ses utilisateurs avec sa maison-mère, Facebook.

Lorsque Facebook a acquis le très populaire service de messagerie, en 2014, l’entreprise s’était engagée à ne pas partager d’informations personnelles avec son nouveau propriétaire. Mais ce 26 août, WhatsApp a fait machine arrière, en avertissant ses utilisateurs qu’il changeait ses conditions d’utilisation et que des données, dont le numéro de téléphone des utilisateurs, seraient désormais partagées avec Facebook.

« Nous allons explorer des façons dont les entreprises et vous pouvez communiquer ensemble […], comme passer des commandes, effectuer des transactions, obtenir des informations de rendez-vous, recevoir des bons et avis de livraisons, être informé des mises à jour de produits et services et du marketing », expliquait alors WhatsApp.

Ce revirement avait suscité l’inquiétude d’utilisateurs, mais aussi des régulateurs de la vie privée. La CNIL et son équivalent britannique s’étaient alarmées du flou entourant ces partages de données, et la manière dont les informations pourraient être utilisées. L’autorité allemande était allée plus loin, demandant fin septembre à Facebook et WhatsApp de cesser tout échange d’informations. Une position qui est donc désormais celle de l’ensemble des régulateurs européens.

Dans un communiqué commun, les CNIL européennes estiment qu’il « est de la plus haute importance que votre entreprise nous communique toutes les informations à votre disposition. Cela inclut les catégories précises de données (noms, numéros de téléphones, adresses email et postales) et la source de ces données (captées sur le téléphone ou présentes dans les bases de données de WhatsApp) ainsi qu’une liste des destinataires de ces données ». Dans l’intervalle, elles demandent à WhatsApp de cesser tout transfert de données.

Yahoo! également dans le collimateur

Dans une procédure séparée, les gendarmes européens de la vie privée ont également écrit à Yahoo! pour demander des précisions sur deux problèmes distincts. D’une part, le piratage massif, révélé en septembre, dont a fait l’objet l’entreprise en 2014, et qui concernait 500 millions de comptes. Et, surtout, le vaste système de surveillance des e-mails Yahoo!, mis en place par l’entreprise à la demande du FBI américain, dans le but de repérer des conversations entre des terroristes présumés, et dont l’existence a été révélée début octobre.

Ce type de révélations, sur la surveillance américaine d’Internet, a contribué entre 2013 et 2015 à faire tomber le Safe Harbor, un cadre juridique qui permettait aux entreprises américaines d’exploiter les données des Européens. Un nouveau cadre, le Privacy Shield, a depuis été adopté, mais sa validité au droit européen dépend de l’attitude des autorités américaines vis-à-vis des données personnelles et donc des programmes de surveillance qu’elles mettent en place.

« Ces informations inquiètent le G29 et il est important que nous puissions analyser les bases légales et la justification d’un tel système de surveillance, et la manière dont vous pensez que ce système puisse être compatible avec la loi européenne et la protection des ressortissants européens », écrit l’association des régulateurs européens dans un courrier adressé à Marissa Mayer, la directrice de Yahoo!.