VLAN, v'la une VLOP
Dans un rapport envoyé à la Commission européenne, WhatsApp informe que son nombre d’utilisateurs actifs mensuels dans les chaînes a atteint 46,8 millions. Le service de messagerie instantanée est donc désormais considéré comme une très grande plateforme en ligne, selon les critères du DSA.
« Conformément à l’article 24(2) du règlement sur les services numériques (UE), pour la période de six mois allant du 1er juillet 2024 au 31 décembre 2024, il y a eu environ 46,8 millions de destinataires actifs mensuels moyens des chaînes WhatsApp dans l’UE. Nous avons estimé le nombre de destinataires actifs mensuels moyens des chaînes WhatsApp dans l’UE en nous référant aux utilisateurs actifs mensuels moyens de ce service. Pour les chaînes WhatsApp, nous définissons un utilisateur actif mensuel comme un utilisateur actif de l’application mobile WhatsApp qui a ouvert une chaîne au cours des 30 derniers jours à la date de la mesure »
C’est en quelques lignes, presque laconiques, que WhatsApp a informé la Commission européenne de ce changement. Il est loin d’être anodin pour WhatsApp, car le service est désormais considéré comme une VLOP (Very Large Online Platform) en vertu du DSA, le cap des 45 millions d’utilisateurs mensuels actifs ayant été dépassé. Avec de nouvelles obligations à la clé pour la maison mère, Meta.
Les chaînes et uniquement les chaînes
En tant que messagerie privée, WhatsApp n’était que partiellement soumis au DSA. Le règlement ne s’applique en effet pas totalement aux services permettant simplement des échanges entre personnes. Il y avait cependant un point à surveiller : les chaînes.
Contrairement aux conversations classiques, celles-ci sont des canaux de diffusion à sens unique, comme l’expliquait l’entreprise au lancement de la fonction en juin 2023. Les utilisateurs de WhatsApp peuvent s’y abonner pour y lire les messages publiés. Ces chaines sont souvent utilisées par des entreprises, des médias, personnalités publiques, etc. WhatsApp propose un annuaire, dans lequel on peut chercher ces sources d’informations. Autre différence majeure avec les conversations, les chaines ne sont pas chiffrées de bout en bout.
Lorsque WhatsApp parle du franchissement des 45 millions d’utilisateurs actifs, l’entreprise signifie les personnes se servant des chaines. Les utilisateurs de la messagerie ne sont pas comptabilisés.
Quelles obligations pour WhatsApp ?
Maintenant que l’application est pleinement soumise au DSA, plusieurs obligations s’appliquent, même si elles ne concernent que les chaînes.
La principale est que les personnes présentes sur les chaînes doivent avoir un moyen de signaler tout contenu leur paraissant illégal. Non seulement WhatsApp doit permettre l’envoi de ces informations, mais le service doit s’assurer de leur suppression rapide.
En outre, le DSA limite les informations pouvant être utilisées pour personnaliser les contenus publicitaires. L’orientation sexuelle, la religion, le groupe ethnique ou encore les convictions politiques ne peuvent faire l’objet d’un profilage quelconque. Toujours dans le domaine publicitaire, les enfants ne doivent pas être ciblés. Quand la règle s’applique d’ailleurs, les VLOP doivent faire preuve de transparence sur leurs algorithmes, qu’il s’agisse de publicité, de tout système de recommandation ou de la modération des contenus.
Ce n’est pas tout. Les plateformes concernées doivent se pencher sur les risques liés aux contenus illicites, aux droits fondamentaux (liberté d’expression, liberté des médias…), à la sécurité publique, à la violence sexiste, à la santé publique ou encore à la protection des mineurs. Elles doivent « établir une fonction de conformité interne qui s’assure que les risques cernés sont atténués ».
Un audit indépendant a ensuite lieu une fois par an pour contrôler l’ensemble de ces points. Toute demande liée de la Commission européenne ou des autorités nationales doit faire l’objet d’un partage de données. Ces dernières doivent également être mises à disposition des chercheurs agréés, quand la « recherche contribue à la détection, à l’identification et à la compréhension des risques systémiques ».
Meta a l’habitude
La situation ne change pas automatiquement avec le cap des 45 millions d’utilisateurs actifs mensuels. La Commission européenne doit officialiser l’ajout de WhatsApp sur la liste des plateformes actuellement concernées par le statut VLOP ou VLOSE (Very Large Online Search Engine), dont elle sera la 21ᵉ entité. L’entreprise aura ensuite quatre mois pour se mettre en conformité.
Ce ne devrait pas être un problème pour Meta, la maison mère. Facebook et Instagram sont déjà soumis au DSA, et leur situation est nettement plus complexe que WhatsApp, car les algorithmes y sont légion, pour gérer la publicité comme les contenus à pousser auprès des utilisateurs.
Et Meta connait d’autant mieux le sujet que la Commission a ouvert en mai de l’année dernière deux procédures formelles. La première concerne des pratiques potentiellement trompeuses et un manque d’efficacité dans la lutte contre la désinformation. La seconde doit déterminer si l’entreprise « a pu enfreindre la législation sur les services numériques dans des domaines liés à la protection des mineurs ».
Où en est Meta de ses messageries ?
Meta possède aujourd’hui les deux messageries les plus utilisées sur la planète : Messenger et WhatsApp. Vient s’y ajouter Instagram, dont les messages privés sont largement utilisés eux aussi. Or, l’entreprise avait de grandes ambitions dans ce domaine, en voulant interconnecter ses trois services, permettant aux personnes de communiquer librement. WhatsApp travaillait également sur l’interconnexion entre ses services et les messageries tierces, une obligation imposée par le DMA.
Concernant ce dernier point, les deux messageries proposent effectivement un moyen. Meta avait expliqué ses plans au printemps de l’année dernière. La solution, dans les deux cas, passait par un serveur intermédiaire, contrôlé par Meta, dans lequel les protocoles pouvaient se « serrer la pince ». Nous en avions expliqué le fonctionnement, qui n’était cependant disponible que pour les services basés, eux aussi, sur le protocole Signal. D’autres protocoles pouvaient être utilisés, mais il fallait faire la preuve que l’autre protocole offrait les mêmes garanties de sécurité.
Pourquoi cette limitation au protocole Signal ? Parce que WhatsApp l’utilise depuis 2016 et Messenger depuis décembre 2023. Dans le second cas, il s’agissait initialement d’un mode séparé, qu’il fallait activer manuellement (les conversations secrètes, en tête-à-tête). Depuis un peu plus d’un an, le chiffrement de bout en bout est utilisé par défaut pour tous les échanges personnels, discussions comme appels.
Le mystère de la grande fusion
Qu’en est-il alors de la fameuse interopérabilité entre les messageries de Meta ? Actuellement, on ne sait pas. Ce grand projet avait été annoncé en janvier 2019, mais l’entreprise n’en a pratiquement plus reparlé. Les projets semblent avoir changé, avec un accent mis sur le chiffrement de bout en bout. En outre, les nouvelles réglementations européennes sont passées par là et l’entreprise a dû s’y conformer pour chacun de ses services.
Pourtant, on ne peut s’empêcher de penser que l’infrastructure proposée pour les messageries tierces pourrait tout aussi bien servir pour les propres services de Meta, d’autant que WhatsApp et Messenger se servent du même protocole.