Vous souvenez-vous du contrecoup de cette mise à jour impossible à comprendre de la politique de confidentialité publiée par WhatsApp l’année dernière ? Une plainte de protection des consommateurs concernant la pression agressive de la plate-forme de messagerie pour obliger les utilisateurs à accepter des changements de termes impénétrables liés à son utilisation de leurs données continue de gronder dans l’Union européenne – passant maintenant à la vitesse supérieure dans une enquête formelle.
La Commission européenne a déclaré aujourd’hui qu’elle avait écrit à WhatsApp pour lui demander de clarifier les changements et d’expliquer comment – ou, enfin, si – ils se conforment à la loi sur la protection des consommateurs du bloc.
Il a ajouté que WhatsApp doit mieux informer les consommateurs sur son utilisation de leurs données.
Une plainte contre les conditions générales mises à jour de WhatsApp a été déposée par un certain nombre d’organisations de protection des consommateurs basées dans l’UE en juillet. Il a souligné avec quelle agressivité le géant de la messagerie appartenant à Facebook / Meta a poussé les termes opaques sur les utilisateurs, via des «notifications persistantes, récurrentes et intrusives», et (au moins au début) donnant aux gens peu de temps pour réfléchir à ce que les changements pourraient signifier et s’ils voulaient les accepter.
La réaction des utilisateurs face à la mise à jour de la «politique de confidentialité» de WhatsApp est devenue si féroce que les applications de messagerie rivales – telles que Signal Messenger axée sur la confidentialité – ont connu une énorme augmentation des inscriptions il y a un an, les utilisateurs inquiets de WhatsApp recherchant des alternatives avec une meilleure réputation pour respectant l’information des personnes.
La plainte des groupes de consommateurs de l’UE concernant la mise à jour de la politique de WhatsApp – qui a été déposée auprès de la Commission européenne et du réseau régional des autorités nationales de protection des consommateurs – a fait valoir que les actions de l’entreprise enfreignaient la directive européenne sur les pratiques commerciales déloyales.
La Commission et le réseau européen des autorités nationales de protection des consommateurs (CPC) – dirigé par l’Agence suédoise de la consommation – semblent être arrivés à des conclusions similaires, écrivant qu’ils ouvrent maintenant un « dialogue officiel » avec WhatsApp sur sa conformité à la législation européenne sur la protection des consommateurs. et donnant à la plateforme jusqu’au 28 février pour répondre à « nos inquiétudes ».
Les préoccupations spécifiques sont de savoir si « des informations suffisamment claires sont données aux consommateurs sur les conséquences de leur décision d’accepter ou de refuser les nouvelles conditions d’utilisation de l’entreprise ; l’équité des notifications intégrées à l’application de WhatsApp incitant les consommateurs à accepter les nouvelles conditions et la politique de confidentialité ; et si les consommateurs ont une possibilité adéquate de se familiariser avec les nouvelles conditions avant de les accepter ».
L’exécutif et les autorités des consommateurs de l’UE sont également préoccupés par l’échange de données personnelles des utilisateurs entre WhatsApp et des tiers ou d’autres sociétés Facebook/Meta – un sujet de préoccupation et de plainte de longue date en Europe, à la suite d’un renversement controversé de Facebook en 2016 sur l’absence de données de WhatsApp. -politique de partage avec Facebook. (Pour lequel le géant de la technologie a ensuite été condamné à une amende de 122 millions de dollars en vertu des règles de l’UE sur les fusions et acquisitions car, avant la fusion, Facebook avait déclaré aux régulateurs qu’il ne pouvait pas automatiquement faire correspondre les comptes d’utilisateurs entre sa propre plate-forme et WhatsApp.)
Dans un communiqué, le commissaire européen à la justice, Didier Reynders, a déclaré : « WhatsApp doit s’assurer que les utilisateurs comprennent ce qu’ils acceptent et comment leurs données personnelles sont utilisées, en particulier lorsqu’elles sont partagées avec des partenaires commerciaux. J’attends de WhatsApp qu’il respecte pleinement les règles de l’UE qui protègent les consommateurs et leur vie privée. C’est pourquoi nous avons lancé aujourd’hui le dialogue officiel. WhatsApp a jusqu’à fin février pour nous revenir avec des engagements concrets sur la manière dont ils répondront à nos préoccupations.
L’organisation européenne des consommateurs, le BEUC, a salué l’enquête Commission-CPC sur les pratiques de WhatsApp.
Dans un communiqué, la directrice générale adjointe du BEUC, Ursula Pachl, a ajouté : « WhatsApp a bombardé les utilisateurs pendant des mois avec des messages contextuels persistants. De plus, les consommateurs ne savaient pas ce qu’ils étaient poussés à accepter. WhatsApp a été délibérément vague à ce sujet, ouvrant la voie à un traitement de données de grande envergure sans le consentement valide des consommateurs. Nous saluons la décision du CPC-Network d’enquêter sur WhatsApp. Nous attendons de WhatsApp qu’il clarifie et modifie ses politiques dans le plein respect des droits des consommateurs, y compris pour les consommateurs qui ont accepté les nouvelles conditions en raison des pratiques déloyales de l’entreprise.
WhatsApp a également été contacté pour une réponse au développement — et un porte-parole nous a envoyé cette ligne :
« Nous sommes impatients d’expliquer à la Commission européenne comment nous protégeons la vie privée de nos utilisateurs conformément à nos obligations en vertu du droit de l’UE. »
Le porte-parole de WhatsApp a également souligné une mise à jour de novembre 2021 qu’il a apportée à sa politique de confidentialité de la région européenne – lorsqu’il a déclaré qu’il ajoutait «des détails supplémentaires sur nos pratiques existantes» – un changement qui a suivi une amende de 267 millions de dollars pour violation de la transparence de Législation européenne sur la protection des données.
Il n’est pas clair si WhatsApp a complètement abandonné sa tentative antérieure de forcer la mise à jour en Europe. Comme à peu près tout autour de cette saga déroutante, WhatsApp offre peu de clarté.
Pour l’anecdote, l’application de messagerie semble avoir arrêté les pop-ups lancinants qu’elle envoyait périodiquement, poussant les utilisateurs à « accepter » la politique mise à jour.
Interrogé à ce sujet, le porte-parole de WhatsApp nous a dit : « Dans l’UE, les utilisateurs n’acceptent pas la politique de confidentialité – c’est un avis de transparence ».
Poussée pour plus de clarté, cette personne nous a dit : « Nous n’affichons plus les notifications dans l’application liées à la mise à jour de la politique de confidentialité et des conditions d’utilisation de janvier 2021 pour éviter toute confusion des utilisateurs avec la politique de confidentialité de novembre.
« Pour le très petit nombre d’utilisateurs qui n’ont pas encore accepté les conditions d’utilisation, il y aura d’autres opportunités d’accepter, par exemple lorsqu’ils se réinscrivent ou lorsqu’ils souhaitent utiliser une fonctionnalité liée à la mise à jour des conditions d’utilisation pour la première fois. temps. »
Donc, fondamentalement, il a cessé de pousser les utilisateurs à accepter ses conditions jusqu’à ce qu’il puisse trouver une nouvelle façon de les faire accepter les conditions ?
Le porte-parole a poursuivi en affirmant que les utilisateurs de l’UE n’avaient jamais eu besoin d’accepter les conditions de janvier 2021 – ce qui est drôle, compte tenu de la fréquence à laquelle les gens de l’UE ont été harcelés pour faire exactement cela ! — disant que « en tant que document de transparence, dans l’UE, il n’a pas besoin d’être accepté par les utilisateurs, et aucune action n’est requise pour continuer à utiliser WhatsApp », ajoutant que : « Il est fourni afin que les utilisateurs soient informés du fonctionnement de WhatsApp ».
Afficher un avis de transparence plutôt que demander aux utilisateurs d’« accepter » les conditions générales mises à jour présente évidemment une certaine nuance juridique par rapport au droit de l’UE. Même si le résultat du fonctionnement de WhatsApp est que la plupart des utilisateurs ont probablement « accepté » par inadvertance ce qu’ils voulaient de toute façon.
Ajoutez à cela, si l’objectif de WhatsApp était réellement pour s’assurer que les utilisateurs sont informés du fonctionnement de WhatsApp, il semble avoir fait un travail exceptionnellement médiocre.
Le BEUC était également incertain lorsque nous avons demandé s’il avait remarqué des changements dans les pratiques de WhatsApp concernant la mise à jour de la politique après avoir déposé sa plainte. Un porte-parole nous a dit : « Notre rôle était de donner l’alerte en fonction de ce dont nous avions été témoins. Nous faisons désormais confiance à la Commission et aux autorités de protection des consommateurs pour aider à faire toute la lumière sur ces pratiques.»
Mettre à jour: Le porte-parole de WhatsApp a repris contact – pour « clarifier » un autre point : la société déclare que les utilisateurs de l’UE a fait en fait doivent accepter les conditions d’utilisation, mais la politique de confidentialité (régionale) est un « document de transparence » qui n’a pas besoin d’être accepté.
Il n’est toujours pas clair si WhatsApp continue de harceler activement les utilisateurs de l’UE qui n’ont toujours pas accepté le ToS pour le faire.
Protection des consommateurs vs vie privée
Alors que WhatsApp a été confronté à une pénalité majeure en matière de transparence dans l’UE, les plaintes concernant la confidentialité des conditions de données de son parent Facebook / Meta s’accumulent sans décision depuis des années – malgré une mise à jour majeure du cadre du bloc en 2018, comme le règlement général sur la protection des données (GDPR) est entré en application.
Les militants de la protection de la vie privée s’attendaient à ce que le GDPR impose des limites importantes aux modèles commerciaux basés sur le suivi. Au lieu de cela, les régulateurs de la protection des données ont été extrêmement réticents à appliquer des normes juridiques claires contre les violations systématiques de l’industrie adtech.
Cependant, il est à noter que – également aujourd’hui, avant une journée annuelle de célébration des droits régionaux à la vie privée demain – la Commission européenne a lancé un autre appel de haut niveau pour que l’application de la protection des données s’intensifie, avec Reynders et Věra Jourová, la commissaire aux valeurs et à la transparence, écrit dans une déclaration conjointe [emphasis ours]:
« Avec le règlement général sur la protection des données désormais bien ancré dans notre Union, pleine mise en œuvre et application des règles de protection des données demeure une priorité pour la Commission. Application rigoureuse par les autorités de protection des données, coopérant de manière véritablement européenne au sein du comité européen de la protection des données (EDPB), est la clé du succès du RGPD. L’année 2021 a vu une montée en puissance des mesures d’exécutionplusieurs affaires très médiatisées ayant entraîné des amendes importantes. Il est important que cette approche soit poursuivie et amplifiée dans les mois et années à venir. »
Le mois dernier, la Commission a également averti les autorités de protection des données de la nécessité d’appliquer le RGPD pour lutter contre les géants de la technologie publicitaire tels que Facebook et Google, qui restent des cibles clés pour les plaintes en matière de confidentialité – Jourová stipulant que l’application du RGPD doit devenir « efficace » – ou bien elle a dit qu’il « va doivent changer », avec la menace supplémentaire que tout « changement potentiel » s’orientera vers une application centralisée (c’est-à-dire par la Commission elle-même).
Le problème avec l’application du RGPD contre les plates-formes technologiques les plus puissantes est qu’un mécanisme de «guichet unique» dans le règlement – destiné à simplifier la conformité pour les entreprises offrant des services transfrontaliers en acheminant les plaintes via une autorité de protection des données principale – a conduit à un forum achats et capture réglementaire.
Cela signifie que les plaintes contre les géants de la technologie sont souvent ignorées, abandonnées ou étudiées à un rythme si glacial que les entreprises ont amplement le temps de reconfigurer les opérations et de contourner tout risque/dommage aux flux de données.
La Commission irlandaise de protection des données (DPC), par exemple, n’a toujours pas rendu de décision sur une plainte de 2018 contre le soi-disant « consentement forcé » de Facebook et WhatsApp – deux services qui continuent de refuser aux utilisateurs le libre choix de savoir si leurs informations sont traité pour le ciblage publicitaire comportemental ; une condition « zéro confidentialité » est imposée pour accéder au service.
Pourtant, dans l’UE et dans le cadre du RGPD, les utilisateurs devraient avoir le libre choix si le consentement est la base juridique du traitement.
Mais il y a une autre tournure à cette saga. En octobre – après que l’organisation européenne de défense de la vie privée à but non lucratif noyb a publié un projet de décision DPC concernant une plainte GDPR concernant la légalité des T&C de Facebook – on peut voir le régulateur irlandais écrire que, essentiellement, il ne voit aucun problème avec une respiration sifflante Meta dans laquelle il prétend que les utilisateurs sont en fait dans un contrat avec Facebook pour recevoir des annonces, par conséquent, il peut simplement contourner toute obligation légale d’obtenir leur consentement pour les suivre et les profiler pour le ciblage publicitaire.
Donc, apparemment, le service réel fourni par Facebook ne vous connecte pas à vos amis ; il connecte vos globes oculaires à des publicités « pertinentes » – ou, eh bien, c’est ce que les avocats soutiennent dans l’UE.
Curieusement, le principal superviseur des données européennes de Meta semble d’accord avec cela. Du moins à en juger par le contenu du projet de décision. (noyb a depuis déposé une plainte pour corruption pénale contre le DPC – accusant le régulateur de «chantage procédural», lié à une tentative de le bâillonner pour qu’il ne publie plus de révélations réglementaires maladroites basées sur des documents.)
Tout cela pour dire que le long retard dans toute application de la protection des données de l’UE contre l’adtech a donné aux géants du piétinement des droits comme Meta amplement d’espace pour reconfigurer cyniquement leurs revendications de conformité – passant d’un faux consentement à un faux contrat publicitaire – sans avoir à faire aucun changement à la façon dont ils saisissent réellement les données des gens.
Il reste à voir si la législation européenne sur la protection des consommateurs s’avérera un outil d’application plus rapide et plus efficace contre le marché des géants de la technologie publicitaire.
En ce qui concerne la question délicate des T&C adtech par rapport aux droits à la vie privée de l’UE, nous attendons toujours que les marteaux de la DPA tombent.