[Focus] Un avocat peut-il échanger avec son client via Whatsapp ?

Lecture: 8 min

N1991BZR

Citer l'article

Créer un lien vers ce contenu

[Focus] Un avocat peut-il échanger avec son client via Whatsapp ?. Lire en ligne : https://www.lexbase.fr/article-juridique/86561364-focus-un-avocat-peutil-echanger-avec-son-client-via-i-whatsapp-i-

Copier

par Éric Le Quellenec, avocat associé Simmons & Simmons LLP, Ancien Membre du Conseil de l’Ordre du Barreau de Paris

le 13 Juillet 2022

Mots clés : messagerie instantanée • OTT • secret des correspondances • secret professionnel • avocat • RGPD

Whatsapp est d’accès facile et apprécié pour son ergonomie et son chiffrement des données de bout en bout. L’avocat communiquant son numéro de portable à ses clients, la généralisation de l’usage de Whatsapp est naturelle. Pourtant, Whatsapp a été la cible de pas moins de quatre autorités de contrôle européennes de protection des données à caractère personnel. La transparence des conditions d’utilisation, la sécurité et la confidentialité des échanges étant en jeu, la compatibilité de cet outil avec le secret professionnel de l’avocat est questionnable. Pour y répondre, il faut d’abord rappeler la nature technique de Whatsapp, opérateur d’un service de communication, avant d’envisager sa conformité

Whatsapp, opérateur télécom par extension

Contrairement au SMS, service utilisant directement le réseau télécom, Whatsapp est un service dit « over the top », d’où l’acronyme OTT, les informations circulent exclusivement par l’application concernée, via la « data », autrement dit par protocole IP.

Depuis une Directive n° 2018/1972 du 11 décembre 2018 N° Lexbase : L4469LNT [1], transposée en France en 2021 [2], même si la déclaration en tant qu’opérateur n’existe plus en tant que telle en France, la qualification d’opérateur s’applique aux services OTT. Certaines des obligations des opérateurs s’appliquent à Whatsapp, notamment en termes de sécurité, neutralité dans la gestion des flux et d’accès sur réquisition judiciaire.

L’article L. 32-3 du Code des postes et communications électroniques (CPCE) N° Lexbase : L4302LDP prévoit clairement que les opérateurs sont tenus de respecter le secret des correspondances. Le secret couvre le contenu de la correspondance, l'identité des correspondants ainsi que, le cas échéant, l'intitulé du message et les documents joints à la correspondance. En cas de manquement, l’article 226-5 du Code pénal N° Lexbase : L1792AMC s’applique. Il a ainsi été jugé qu’un employeur ne peut intercepter de tels messages, même adressés depuis du matériel mis à disposition par l’employeur [3].

Cependant, le même article du CPCE prévoit que, sous réserve du consentement exprès de l'utilisateur, l’opérateur peut faire l’analyse à des fins publicitaires, statistiques ou d'amélioration du service apporté à l'utilisateur du contenu de la correspondance en ligne, de l'identité des correspondants ainsi que, le cas échéant, de l'intitulé ou des documents joints. Ce consentement doit être recueilli tous les ans [4]. Il ne semble pas que Whatsapp utilise cette faculté [5], les données étant nativement chiffrées de bout en bout dans cette messagerie et stockées uniquement sur le terminal de l’utilisateur après envoi. En revanche, les données sur les profils des utilisateurs et l’usage des services sont au cœur du modèle économique de l’application au demeurant gratuite.

Whatsapp et conformité au RGPD

Le premier et principal grief fait depuis 2017 [6] par la CNIL à Whatsapp est le partage des informations sur les profils des utilisateurs à la maison mère Facebook Inc [7] (devenue Meta) pour monnayer les données avec les dérives alors déjà connues en période électorale du Brexit (scandale dit « Cambridge analytica »).

L’autorité de Hambourg a considéré dès 2016 qu’il y avait consentement forcé pour le transfert de données à Facebook [8]. La même autorité [9] après celle d’Italie [10] s’était alarmée du détournement possible des informations collectées pour des finalités commerciales, après publication de nouvelles versions des conditions d’utilisation Whatsapp. De nombreux utilisateurs s’étaient alors désinscrits…

En tant qu’autorité chef de file [11], l’autorité irlandaise après avoir consulté d’autres autorités dans le cadre du Comité européen à la protection des données personnelles a prononcé une amende administrative record de 225 millions d’euros le 2 septembre 2021 [12].

L’association Not of your business [13] a considéré que cela ne représentait toujours que 0,08 % du chiffre d'affaires du groupe Meta [14].

Les principaux griefs retenus par l’autorité irlandaise sont le manque de précision et de transparence sur l’usage des données, leur durée de conservation et leur localisation. Sur ce dernier point, le fait que des données nominatives soient exportées vers les USA est un problème quasi-insurmontable depuis l’arrêt de la CJUE dit Schrems 2 [15] qui avait mis fin au mécanisme appelé EU-US Privacy Shield et aux dernières positions des autorités de contrôle sur Google Analytics [16].

Compatibilité à la déontologie de l’avocat

L’avocat peut utiliser Whatsapp directement avec un ou plusieurs clients, voire encore pour plusieurs clients, par exemple pour l’envoi d’information instantanée à chaud, selon l’actualité et avec interaction au sein du groupe[17].

L’article 66-5 de la loi du 31 décembre 1971 N° Lexbase : L6343AGZ contraint l’avocat à respecter le secret professionnel en toutes matières.

Utiliser Whatsapp comme forum d’échanges et de discussion avec ses clients sur des sujets d’actualité ne pose aucune difficulté déontologique, puisque le secret professionnel n’est pas en jeu [18].

La question se pose nécessairement plus directement pour les échanges liés à un dossier confié à l’avocat. Le CNB ni aucun grand barreau n’ont pris de position publique contre Whatsapp.

Les conditions d’utilisation de Whatsapp rappellent que la société irlandaise n’en est pas moins filiale d’une société américaine et qu’à ce titre des lois à effet exterritorial peuvent s’appliquer. Outre le fameux Cloud Act [19], les lois anti-terroristes (Patriot Act [20]) mais aussi de lutte contre la corruption de mineur, peuvent permettre aux autorités américaines d’accéder au contenu, ce que l’avocat français, ramené à son simple statut d’utilisateur lambda aura du mal à anticiper et ne serait-ce que savoir, en l’absence de traité international encadrant ce type d’accès.

Ce problème majeur mis de côté, le chiffrement et l’absence d’usage du contenu des conservations paraissant acquis (voir supra), la question délicate est bien celle de la conformité au RGPD.

Même si la CNIL dit elle-même que le consentement de l’utilisateur conjugué à une approche par les risques ne suffisent pas à assurer une telle conformité (avis Google analytics précité), il n’empêche que ces précautions réduisent en toute hypothèse l’exposition à des sanctions fortes.

Les mentions RGPD sur le site web de l’avocat et la clause donnée personnelle dans sa convention d’honoraires doivent impérativement prévoir la possibilité d’un usage de Whatsapp, le cas échéant, informant le client sur l’usage des données d’utilisation de ce service, renvoyant à la politique de confidentialité de cet opérateur et ne laissant aucune ambiguïté sur la possibilité de flux de données nominatives vers les USA. Ce sont sous ces réserves qu’un usage de Whatsapp peut s’envisager professionnellement pour l’avocat.

À retenir : Apprécié pour son ergonomie et son chiffrement des données de bout en bout, Whatsapp pose néanmoins des questions importantes en termes de conformité au RGPD. Si l’avocat n’a pas d’autre moyen de communiquer avec son client, une information renforcée de ce dernier dans la convention d’honoraires et la politique de confidentialité du cabinet s’impose.

[1] Directive établissant le Code des communications électroniques européen.

[2] Ordonnance n° 2021-650 du 26 mai 2021 N° Lexbase : L6123L4K.

[3] Dans le cas d’espèce, c’est Messenger, autre service de messagerie instantanée géré par Meta (ex-Facebook) qui était concerné : Cass. soc., 23 octobre 2019, n° 17-28.448, F-D N° Lexbase : A6523ZSE.

[4] Décret n° 2017-428 du 28 mars 2017 relatif à la confidentialité des correspondances électroniques privées N° Lexbase : L4188LDH.

[5] Privacy Policy - EEA (whatsapp.com) [En ligne].

[6] Commission Nationale de l’Informatique et des Libertés, Délibération du bureau de la Commission nationale de l’informatique et des libertés n° 2017-300 du 12 décembre 2017 décidant de rendre publique la mise en demeure n° 2017-075 du 27 novembre 2017 prise à l’encontre de la société X [En ligne].

[7] Facebook a racheté Whatsapp en 2014.

[8] Anordnung des Hamburger Datenschutzbeauftragten: WhatsApp darf keine Daten an Facebook weitergeben, netzpolitik.org , 27 septembre 2016 [En ligne].

[9] Anordnung des HmbBfDI: Verbot der Weiterverarbeitung von WhatsApp-Nutzerdaten durch Facebook, datenschutz-hamburg.de, 11 mai 2021 [En ligne].

[10] La Cnil italienne s'inquiète des nouvelles conditions d'utilisation de WhatsApp… inapplicables en Europe, L’Usine digitale, 15 janvier 2021 [En ligne] .

[11] Données personnelles : l'UE précise les compétences des pays membres, Le Figaro.fr, 15 juin 2021 [En ligne].

[12] Data Protection Commission announces decision in WhatsApp inquiry, dataprotection.ie, 2 septembre 2021 [En ligne].

[13] Mieux connue sous l’acronyme « NYOB ».

[14] Le CPD irlandais a infligé une amende de 225 millions d'euros à WhatsApp/Facebook, noyb.eu, 2 septembre 2021 [En ligne].

[15] CJUE, 16 juillet 2020, affaire C‑311/18 N° Lexbase : A26443RD.

[16] Post Sarah Bailey, Emilie Danglades-Peres, Eric Le Quellenec, juin 2022 [En ligne].

[18] Mais le RGPD oui, de telles activités rentrant dans la qualification de prospection selon le dernier référentiel de la CNIL [En ligne].

[19] Cloud Act, Department of Justice, The United States, [En ligne].

[20] Usa Patriot Act, Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism (USA PATRIOT) Act of 2001 [En ligne].

newsid:481991

Vos notes