2 février 2013

Canada et Pays-Bas: enquête relative à WhatsApp

Le 15 janvier 2013, le Commissariat à la protection de la vie privée du Canada (CPVPC ou OPC) et l'autorité de protection des données personnelles des Pays-Bas (i.e. College Bescherming Persoosgegevens ou CBP ou Dutch DPA) ont rendu une décision contre la compagnie WhatsApp Inc., laquelle
"possède et exploite "WhatsApp Messenger", application mobile de messagerie multiplateforme qui permet aux utilisateurs d'échanger des messages sur leurs appareils mobiles par Internet plutôt que par le service de messages courts (SMS). L'application est disponible sur divers appareils et plateformes mobiles, notammentle iPhone d'Apple, le BlackBerry de Research In Motion et Android de Google [et Microsoft's Windows Phone, Nokia's Symbian]. En plus de la messagerie de base, l'application permet aux utilisateurs d'envoyer et de recevoir des images ainsi que des messages vidéo et audio."
(Source: Décision CPVPC, par. 5) [Source: Décision CBP, p. 5]
L'enquête ayant conduit à cette décision est présentée comme une première mondiale: 
"L'enquête coordonnée est une première mondiale: deux autorités nationales de protection des données ont examiné de concert les pratiques de protection des renseignements personnels d'une entreprise ayant des centaines de millions de clients dans le monde. Cette collaboration marque un tournant dans la protection de la vie privée à l'échelle mondiale"
(Source: Communiqué CPVPC) (Source: Communiqué CBP)
L'enquête a été menée dans le cadre d'un protocole d'accord (MoU ou Memorandum of Understanding) conclu entre les deux autorités: 
"Prior to the investigation, the Dutch DPA and the OPC signed a Memorandum of Understanding (hereinafter called the MoU) regarding the mutual exchange of investication data. This agreement came into effect on 16 January 2012. During the investigation, the Dutch DPA and the OPC shared investigation data as part on the MoU"
(Source: Décision CBP, p. 6)
L'enquête a débuté le 16 février 2012. Elle a couvert la période allant du 26 janvier 2012 au 30 novembre 2012. Elle a donné lieu à des nombreux échanges entre les autorités et la compagnie WhatsApp Inc. comme décrit dans la décision du CBP aux pages 6 et 7. Elle a mené a deux "rapports distincts, afin de tenir compte des lois sur la protection des données des deux pays [...]. Et, après la publication de leurs rapports de conclusions respectifs, le Commissariat et le CBP continueront d'examiner les questions en suspens de manière indépendante". (Source: Communiqué CPVPC)

Lors de leur enquête, le CPVPC et le CBP se sont intéressés aux problématiques suivantes: 

1. Inscription et création d'un compte

Il était allégué que "le processus d'inscription à WhatsApp n'empêchait pas l'utilisation de l'application même lorsque l'utilisateur n'avait pas répondu au message de confirmation de l'ouverture du compte" et que "les messages de confirmation de l'ouverture de compte de WhatsApp étaient envoyés au moyen de ports ordinaires pour le trafic Web et, semble-t-il, sans chiffrement ni mesures de sécurité". (Source: Décision CPVPC, par. 15 et 16)

L'enquête a permis de démontré que WhatsApp avait pris des mesures pour renforcer la sécurité du processus d'inscription et de création d'un compte. Par conséquent, pour le CPVPC "les préoccupations liées au processus d'inscription de WhatsApp sont non fondées" (Source: Décision CPVPC, par. 21)

2. Intégration du carnet d'adresses d'un utilisateur

Il était allégué que "pour faciliter la communication entre les utilisateurs de l'application, WhatsApp a recours au carnet d'adresses de l'utilisateur pour enrichir la liste de "tous ses contacts" sur WhatsApp" et que "dès qu'un numéro de contact a été téléchargé, les serveurs d'entreprise de WhatsApp le classe dans la catégorie "réseau" (c.-à-d, inscrits auprès de WhatsApp) ou "hors réseau". Il n'est possible d'utiliser le service de WhatsApp que pour communiquer avec les numéros "réseau". Un numéro "hors réseau" ne sera associé à un utilisateur de WhatsApp qu'une fois que l'application aura été installée sur l'appareil ayant ce numéro et que la personne se sera inscrite au service". (Source: Décision CPVPC, par. 24 et 27)

L'enquête a démontré que WhatsApp contrevient aux principes relatifs au consentement et à la nécessité quant à la collecte et à la conservation des numéros "hors réseau", lesquels sont énoncés tant dans la Loi sur la protection des renseignements personnels et les documents électroniques que dans la Wet bescherming persoonsgegevens (loi néerlandaise de protection des données ou Wbp)
"Compte tenu de ce qui précède, et attendu que les numéros hors réseau sont conservés plus longtemps que nécessaire aux fins de la recherche de contacts, nous estimons que les préoccupations concernant la conservation des numéros des non-utilisateurs sont fondées". 
(Source: Décision CPVPC, par. 45)
"People who want to use the app must grant WhatsApp access to their entire electronic address book, including the mobile phone numbers of contacts that are not using the app (except in the latest app version on an iPhone with iOS6). Because WhatsApp does not obtain unambiguous consent from non-users to process their personal data and does not have any other legal ground for processing that data, WhatsApp is acting in breach of the provisions of Article 8 of the Wbp.
To enable users to whatsapp with each other, it is not necessary for WhatsApp to process all the mobile phone numbers in their address books. Because WhatsApp does not gives users (except in the latest app version on an iPhone with iOS6) the option of choosing wheter they want to make their contacts available to WhatsApp and, if so, which contacts, a large number of the mobile phone numbers colleted from the address books are excessive. WhatsApp is therefore acting in breach of the provisions of Article 11, first section, of the Wbp"
(Source: Décision CBP, p. 36-37) 
3. Communication systématique des messages de statut

Il était allégué que "contrairement à certaines plateformes de réseautage social qui permettent aux utilisateurs de limiter la diffusion des messages de statut à certaines personnes, les messages de statut communiqués à l'aide du service de messagerie de WhatsApp sont, à dessein, diffusés à tous les utilisateurs de WhatsApp qui ont, dans leur liste de contacts, le numéro de téléphone de l'utilisateur dont le message est diffusé". (Soucre: Décision CPVPC, par. 51)

L'enquête a mis de l'avant que "WhatsApp ne permet pas d'exercer un contrôle granulaire sur la diffusion des messages de statut" (Source: Décision CPVPC, par. 66). Dès lors, la compagnie "a modifié ses conditions d'utilisation et sa politique de confidentialité afin de mieux informer les utilisateurs de la nature publique des messages [de statut] diffusés" (Source: Décision CPVPC, par. 69) et "a indiqué qu'elle avait ajouté la notification en temps réel (p. ex. fenêtre en incrustation) des messages de statut des utilisateurs à son futur plan de mise en oeuvre [soit à compter du 30 septembre 2013]" (Source: Décision CPVPC, par. 72). 

Partant, le CPVPC considère que ce point est conditionnellement résolu et, l'autorité néerlandaise appuie la recommandation du CPVPC quant à la notification en temps réel.
"Every whatsapp user can read the status messages of other whatsapp users, even those of unknown users, whose mobile phone numbers are listed in his address book. In response to the investigation conducted by the Dutch DPA and the OPC, WhatsApp has supplemented the information that it provides to its users about the distribution of status messages. The OPC stresses that WhatsApp must build in extra safeguards against the risks of the widespread distribution of potentially sensitive status information. Although in this respect there would seem to be no formal breach of the Wbp, the Dutch DPA endorses the recommendation of the OPC that whenever users of whatsapp change their status message, they should be warned that there is a risk of that message being widely distributed."
(Source: Décision CBP, p. 37) 
4. Stockage hors ligne des messages

Il est allégué que "WhatsApp achemine les messages au destinataire prévu lorsque celui-ci est en ligne" et que "dans les cas où le destinataire prévu n'est pas en ligne, les messages qui lui sont envoyés par d'autres utilisateurs de WhatsApp sont stockés par la société, en attendant qu'ils soient transmis. WhatsApp peut conserver un message non liv jusqu'à 30 jours, après quoi le message est automatiquement supprimé". (Source: Décision CPVPC, par. 75 et 78)

Considérant que "WhatsApp s'est engagé à retravailler sa politique de conservation des renseignements personnels et à rendre la politique révisée accessible au public [d'ici le 31 mars 2013]", le CPVPC estime que cette problématique est conditionnellement résolue. (Source: Décision CPVPC, par. 84 et 85) 

5. Sécurité des transmissions

L'enquête a mis de l'avant que "les messages envoyés au moyen de l'application n'étaient pas chiffrés" (Source: Décision CPVPC, par. 88). Elle a également permis de constater que "WhatsApp utilise les adresses MAC des appareils iPhone afin de générer automatiquement des mots de passe pour l'échange de message au moyen de son service. Dans le cas des autres téléphones intelligents, WhatsApp utilise plutôt le numéro d'identité internationale d'équipement mobile (numéro IMEI). Les adresses MAC et les numéros IMEI sont des identifiants propres à chaque téléphone qui sont généralement attribués par les fabricants d'appareils". (Source: Décision CPVPC, par. 95)

En ce sens WhatsApp contrevenait, au début de l'enquête, aux dispositions relatives à la sécurité contenues tant dans la loi canadienne que dans la loi néerlandaise. 

Comme "WhatsApp a cessé d'utiliser les numéros IMEI et les adresses MAC pour l'authentification sur toutes les plateformes mobiles [... et] utilise maintenant une clé de 160 bits généré aléatoirement", le CPVPC considère cet aspect résolu. (Source: Décision CPVPC, par. 98 et 99)

De son côté, si le CBP considère que la question du chiffrement résolue, il en va autrement en ce qui concerne la génération des mots de passe: 
"The way WhatsApp generated passwords – that is, using the hashed WiFi MAC address on users to the risk of others pirating their passwords and using their accounts to send and read messages. WhatsApp was therefore acting in breach of Article 13 of the Wbp. In response to the Preliminary Findings report, WhatsApp adopted a new method to create passwords. In December 2012, WhatsApp launched new versions of the app, and started to force active users to switch to these latest versions. Users are forced because they can no longer use the older versions of the app. There are still risks for inactive users that do not update their app. After all, users only obtain a new password when they actively install a new update. WhatsApp has stated that it will address these risks for inactive users, but it has not specified any dates. Because WhatsApp is currently not using the new method for all accounts, with regard to users whose passwords are still based on the WiFi MAC address or the IMEI device number WhatsApp is (still) acting in breach of the provisions of Article 13 of the Wbp. 
When the Dutch DPA and the OPC started their investigation, Whatsapp was using the app to send messages unencrypted. This meant that others could intercept the message contents in readable format. In response to the investigation, WhatsApp now uses encryption. In this respect, WhatsApp is therefore no longer acting in breach of the provisions of Article 13 of the Wbp." 
(Source: Décision CBP, p. 37) 
6. Conservation des données et fermeture de compte 

Il est allégué que "WhatsApp conservait les renseignements personnels des abonnés après que ceux-ci avaient supprimé le service de messagerie de leurs appareils mobiles" (Source: Décision CPVPC, par. 101). De son côté, la compagnie précise qu'elle "a pour politique d'effacer ou de détruire tous les renseignements personnels se rapportant à un utilisateurs, y compris les renseignements pertinents sur les paiements, 30 jours après la cessation du service" (Source: Décision CPVPC, par. 105). Toutefois, "lorsqu'une personne profite d'une période d'essai gratuite d'un an [...] si la personne qui a bénéficié de cet essai gratuit décide de na pas s'abonner après un an de service, certains renseignements personnels sur cette personne (entre autres son nom d'utilisateur, son numéro de téléphone et le type de compte) peuvent être conservés pendant une période maximale d'un an [...] pour s'assurer que la personne qui a profité de l'essai gratuit ne puisse pas bénéficier d'une période d'essai gratuite consécutive" (Source: Décision CPVPC, par. 106)

Étant entendu que "WhatsApp s'est engagée à retravailler sa politique de conservation des renseignements personnels et à la rendre accessible au public [d'ici le 31 mars 2013]", le CPVPC considère cette question conditionnellement résolue. (Source: Décision CPVPC, par. 110 et 111)

De son côté, le CBP est d'avis que: 
"WhatsApp stores the personal data of inactive users for one year. Because WhatsApp has not demonstrated that the data of inactive users need to be stored for such a long time, WhatsApp is acting in breach of the provisions of Article 10, first section, of the Wbp."
(Source: Décision CBP, p. 37)   
À suivre donc ..


Pour aller plus loin, 

Aucun commentaire:

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.