Toutes les messageries ne se valent pas face au RGPD. Si vous utilisez WhatsApp ou Telegram dans un contexte professionnel, vous exposez votre organisation à un risque juridique réel, indépendamment du chiffrement des messages. Les alternatives conformes existent, elles sont accessibles, et le choix entre elles dépend de votre profil d’usage. Voici ce que vous devez savoir pour prendre une décision éclairée.
🔒 Ce qu’il faut retenir
Signal, Olvid, Wire, Threema
Les quatre messageries conformes au RGPD recommandées selon votre profil.
Le chiffrement ne suffit pas
Les métadonnées et les transferts hors UE restent des points de non-conformité même si les messages sont chiffrés.
L’outil seul ne suffit pas
Choisir une messagerie conforme est un premier pas. L’organisation doit aussi signer un DPA et mettre à jour son registre des traitements.
| Messagerie | Chiffrement E2E par défaut | Métadonnées | Serveurs | Open source | Verdict RGPD pro |
|---|---|---|---|---|---|
| Signal | ✅ Oui | Minimales | USA (non lucratif) | ✅ Oui | ✅ Recommandée |
| Olvid | ✅ Oui | Minimales | France | Audité ANSSI | ✅ Recommandée |
| Wire | ✅ Oui | Limitées | Suisse | ✅ Oui | ✅ Recommandée |
| Threema | ✅ Oui | Minimales | Suisse | ✅ Oui | ✅ Recommandée |
| Contenu uniquement | ❌ Massives | USA (Meta) | ❌ Non | ❌ Déconseillée | |
| Telegram | Chats secrets uniquement | ❌ Importantes | Variable | Partiel | ❌ Déconseillée |
Ce que le RGPD exige concrètement d’une messagerie
Le RGPD ne définit pas ce qu’est une « messagerie conforme ». Il fixe des principes généraux que toute solution traitant des données personnelles doit respecter. Appliqués aux messageries instantanées, ces principes se traduisent par des critères concrets que vous pouvez évaluer avant de choisir un outil.
Les 5 critères de conformité à connaître
Pour qu’une messagerie soit compatible avec les exigences du règlement européen, elle doit répondre à cinq conditions cumulatives.
- Minimisation des données collectées : la messagerie ne collecte que les données strictement nécessaires à son fonctionnement, sans profiler ses utilisateurs.
- Chiffrement de bout en bout activé par défaut : le contenu des messages ne doit pas être lisible par l’éditeur de l’application, et cette protection doit être active sans action de l’utilisateur.
- Limitation stricte des métadonnées : les informations périphériques (avec qui vous communiquez, à quelle heure, depuis quel appareil) doivent être réduites au minimum. Un message chiffré dont les métadonnées sont massivement collectées reste un problème.
- Localisation des serveurs dans l’EEE ou dans un pays reconnu adéquat : la Suisse, par exemple, bénéficie d’une décision d’adéquation de la Commission européenne.
- Modèle économique transparent : une messagerie financée par la publicité implique, par définition, une exploitation des données personnelles incompatible avec les principes du RGPD pour un usage professionnel.
Les transferts hors UE, le point bloquant souvent ignoré
Même si les messages sont chiffrés de bout en bout, une messagerie dont les serveurs sont hébergés aux États-Unis pose un problème structurel. Depuis l’arrêt Schrems II rendu par la CJUE, le mécanisme du Privacy Shield a été invalidé. Les transferts de données personnelles vers les États-Unis ne sont donc plus automatiquement légaux, y compris pour des entreprises qui affichent une politique de confidentialité conforme.
Concrètement, une organisation qui utilise une messagerie américaine pour des échanges impliquant des données personnelles de tiers (clients, patients, collaborateurs) s’expose à un risque de non-conformité que le chiffrement des contenus ne couvre pas. Les métadonnées et les données d’inscription transitent toujours.
WhatsApp et Telegram sont-ils conformes au RGPD ?
Ces deux applications dominent les usages personnels et se retrouvent fréquemment dans des contextes professionnels. La question de leur conformité se pose donc régulièrement, et la réponse mérite d’être nuancée avec précision plutôt qu’écartée d’un revers de main.
WhatsApp : chiffré mais pas conforme
WhatsApp utilise bien le protocole Signal pour chiffrer le contenu des messages depuis plusieurs années. C’est un point positif, mais il ne suffit pas. Le problème ne vient pas du contenu des messages, il vient de tout ce qui l’entoure.
La plateforme appartient à Meta et collecte un volume important de métadonnées : la liste de vos contacts (qui sont importés sur les serveurs), les horaires et la fréquence de vos échanges, les appareils utilisés, votre adresse IP et votre localisation approximative. Ces données sont partagées au sein de l’écosystème Meta et peuvent être utilisées à des fins publicitaires.
À cela s’ajoute le transfert de données vers les États-Unis, sans garanties suffisantes au regard du cadre post-Schrems II. Le code source est fermé, ce qui rend tout audit indépendant impossible. Pour un usage professionnel impliquant des données personnelles de tiers, WhatsApp ne satisfait pas aux exigences du RGPD. Son utilisation dans ce cadre engage la responsabilité de l’organisation.
Telegram : le faux ami de la sécurité
Telegram est souvent présenté comme une alternative sécurisée, ce qui entretient une confusion réelle. La réalité est plus nuancée. Le chiffrement de bout en bout n’est pas activé par défaut sur Telegram. Il est uniquement disponible dans les « conversations secrètes », une fonctionnalité optionnelle que la majorité des utilisateurs n’active pas.
Les conversations ordinaires sont chiffrées entre le client et le serveur, ce qui signifie que Telegram accède techniquement au contenu de vos échanges. Les messages sont stockés dans le cloud sur les serveurs de la plateforme, ce qui permet la synchronisation multi-appareils, mais implique que les données existent sur une infrastructure tierce. La localisation des serveurs manque de transparence, et le modèle économique de la plateforme reste peu lisible. Pour des communications professionnelles, la prudence s’impose.
Quelles messageries instantanées sont conformes au RGPD ?
Quatre solutions sortent du lot lorsqu’on applique rigoureusement les critères du RGPD. Elles partagent le chiffrement de bout en bout par défaut et une collecte de données limitée, mais se différencient sur des points qui peuvent être déterminants selon votre contexte. Ce qui est intéressant, c’est que la plupart des comparatifs disponibles se concentrent sur la sécurité technique. L’angle RGPD conduit parfois à des conclusions différentes : Signal, par exemple, reste la référence en matière de protection des contenus, mais ses serveurs américains l’exposent à une réserve juridique que Wire ou Olvid ne partagent pas.
| Messagerie | Points forts RGPD | Limites | Profil idéal |
|---|---|---|---|
| Signal | E2E par défaut, métadonnées quasi nulles, organisation à but non lucratif, code ouvert | Numéro de téléphone requis, serveurs aux USA | Grand public, PME avec budget limité |
| Olvid | Certifiée CSPN par l’ANSSI, aucune donnée requise à l’inscription, serveurs en France | Code source non ouvert (audité) | Secteur public, usages sensibles |
| Wire | E2E, code audité, basée en Suisse, hébergement on-premise possible | Moins connue, version pro payante | Entreprises, équipes distantes |
| Threema | Aucune donnée personnelle requise, serveurs suisses, contacts stockés localement | Application payante (~5 €), pas de 2FA natif | Anonymat maximal requis |
Quelle messagerie choisir selon votre profil ?
Le choix d’une messagerie conforme au RGPD ne se résume pas à un classement unique. Il dépend de votre secteur, de vos contraintes réglementaires spécifiques et de ce que vous faites circuler comme informations. Voici les recommandations par profil, sans détour.
- Grand public ou particulier sensible à la vie privée : Signal reste la référence. Gratuite, simple à prendre en main, recommandée par des organismes comme l’EFF ou l’ANCT.
- PME et entreprises soumises au RGPD : Wire pour sa version professionnelle avec hébergement on-premise, ou Signal si le budget est limité.
- Secteur public et agents de l’État français : Olvid, certifiée par l’ANSSI et utilisée par le gouvernement, ou Tchap, la messagerie officielle de la fonction publique. Pour aller plus loin sur les enjeux liés aux grandes plateformes numériques, vous pouvez consulter notre article sur l’appartenance des réseaux sociaux aux grands groupes technologiques.
- Secteur santé : Olvid pour les échanges sensibles entre professionnels, ou TeamDoc, solution spécialisée dans la communication entre soignants et conforme aux contraintes du secteur.
- Besoin d’anonymat maximal : Threema (aucune donnée requise à l’inscription) ou Olvid (pas de numéro de téléphone, certification ANSSI).
Quelles obligations pèsent sur l’organisation au-delà du choix de l’outil ?
Adopter une messagerie conforme est une condition nécessaire, mais pas suffisante. Le RGPD repose sur un principe de responsabilité : votre organisation doit être en mesure de démontrer sa conformité, pas seulement l’affirmer. Cela implique des démarches administratives et organisationnelles concrètes, souvent absentes des guides disponibles sur ce sujet.
Voici les obligations à mettre en place dès que vous déployez une messagerie dans un contexte professionnel impliquant des données personnelles.
- Signer un DPA (Data Processing Agreement) avec le fournisseur de la messagerie. Dès lors que l’outil traite des données personnelles pour le compte de votre organisation, le fournisseur agit comme sous-traitant au sens du RGPD. Un accord écrit est obligatoire. Si votre organisation s’interroge sur la mise en conformité de ses prestataires numériques, notre article sur le rôle des agences spécialisées en conformité peut apporter un éclairage utile.
- Inscrire l’outil dans le registre des traitements de votre organisation, en précisant la finalité, les catégories de données traitées, la durée de conservation et les mesures de sécurité mises en place.
- Mettre en place des bonnes pratiques côté utilisateurs :
- Activer les messages éphémères pour limiter la conservation des échanges.
- Activer l’authentification à deux facteurs lorsqu’elle est disponible.
- Maintenir les applications et les systèmes d’exploitation à jour.
- Rappel sur la sécurité des appareils : aucune messagerie, aussi bien conçue soit-elle, ne protège contre un appareil compromis. Un logiciel espion de type Pegasus contourne le chiffrement en accédant aux données directement sur le terminal. La conformité RGPD passe aussi par la sécurisation physique et logicielle des appareils utilisés.
