WhatsApp, la messagerie instantanée acquise par Facebook, a été condamnée à une amende de 225 millions d’euros pour manque de transparence dans la transmission de données vers les filiales de Facebook, le 2 septembre 2021 par la Data Protection Commission irlandaise.

Cette amende est la plus importante jamais infligée par le régulateur irlandais et la deuxième plus importante par un régulateur numérique en Europe, après celle de 746 millions d’euros contre Amazon en juillet, au Luxembourg.

En tant qu’autorité de contrôle chef de file, le régulateur irlandais supervise Facebook pour le compte de l’UE, l’entreprise ayant son siège régional dans ce pays.

Que s’est-il passé ?

La DPC irlandaise a constaté les différents manquements de WhatsApp aux articles 5, 12, 13 et 14 du RGPD par :

  • l’absence d’information aux non-utilisateurs au sujet des conséquences qui pourraient découler du traitement dans le cas où ils décideraient de s’inscrire pour devenir un utilisateur ;
  • l’insuffisance dans la fourniture de l’information relative aux traitements dans la mesure où elle ne permet pas d’identifier les opérations qui seront fondés sur le consentement de l’utilisateur ;
  • l’absence d’information sur les catégories de données qui seront traitées ;
  • l’insuffisance de l’information concernant les critères qui seront utilisés pour déterminer si, et pour combien de temps, les données personnelles d’un utilisateur seront conservées après la suppression de son compte ;
  • l’absence d’information s’agissant de la conservation des logs et leur dissociation avec les identifiants personnels, même après la suppression du compte ;
  • l’insuffisance de l’information fournie à propos du retrait du consentement ;
  • l’ambiguïté dans l’information fournie relative aux conséquences sur l’utilisation de l’application en cas d’absence de non-consentement de l’utilisateur ;
  • le défaut de base légale relatif au transfert des données des personnes concernées aux filiales de Facebook.

La DPC a ainsi estimé que la filiale de Facebook ne traitait pas les données personnelles de ses utilisateurs de “manière licite, loyale et transparente” en ne fournissant pas d’informations sur la manière dont les données étaient collectées, stockées et transférées à des sociétés tierces.

L’autorité de contrôle irlandaise réclame désormais que soient mises en œuvre des « mesures correctives spécifiques » dans un délai de trois mois pour que les traitements informatiques entre WhatsApp et Facebook soient conformes au RGPD.

Cette affaire qui s’est achevée par le prononcé d’une amende sous la pression des autres autorités européennes illustre les disparités dans la mise en application du Règlement européen par les différentes autorités et témoigne des limites du mécanismes de « guichet unique ».

Toutefois, entre le principe du marché commun et la protection accordée aux données à caractère personnel, la CJUE a dernièrement affiché sa volonté de placer le curseur du côté des données personnelles en retenant dans son arrêt du 15 juin 2021[1] qu’une « autorité de contrôle d’un Etat membre était autorisée à exercer son pouvoir de porter toute prétendue violation du RGPD devant une juridiction de cet État et d’ester en justice en ce qui concerne un traitement de données transfrontalier alors qu’elle n’est pas l’autorité chef de file pour ce traitement ».

 

Une enquête démarrée en 2018

En décembre 2018, une investigation de la Data Protection Commission irlandaise avait été lancée portant sur le respect par WhatsApp de ses obligations de transparence issues du RGPD. En cause, l’opacité qui entourait la transmission de données à caractère personnel vers les autres sociétés de sa maison-mère Facebook et le manque d’information relatif à ces traitements auprès des personnes concernées au regard de l’article 13 du RGPD.

Conformément à l’article 60 du RGPD sur la coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées, la DPC irlandaise avait transmis son projet de décision aux autres institutions européennes via le CEPD (Comité européen de la protection des données) et avait proposé une amende de 50 millions d’euros. Elle a été transmise aux autres autorités européennes et plusieurs l’ont contestée comme c’est le cas de la CNIL française notamment.

L’absence de consensus entre les autorités de contrôle

En l’absence de consensus, le CEPD a été saisi dans le cadre du traitement de différends (art. 65 du RGPD). Il a rendu le 28 juillet 2021 une décision contraignante demandant à la DPC irlandaise de revoir à la hausse l’amende proposée.

Dans son communiqué explicatif le CEPD souligne que c’est le chiffre d’affaires mondial consolidé (de Facebook) qui doit être pris en compte comme base de calcul de l’amende.

Le CEPD rappelle également que pour l’application des sanctions (art. 83 du RGPD) en cas d’infractions multiples, il faut prendre en compte toutes les infractions pour le calcul de l’amende, tout en respectant la proportionnalité et le montant maximal.

En conséquence, le comité a élevé la sanction à 225 millions d’euros.

 

Transferts de données intra-groupe : comment faire ?

Cette sanction intervient quelques mois après la marche arrière de WhatsApp dans sa démarche de modification de ses conditions générales d’utilisation et de sa politique de confidentialité afin d’introduire le partage automatique des données de ses utilisateurs avec Facebook et Instagram.

En principe, le partage des données personnelles entre une filiale et sa maison-mère n’est pas contraire au RGPD tant qu’il respecte certaines conditions. Les utilisateurs doivent notamment être informés avec clarté dans le but d’obtenir un consentement libre et éclairé.

Pour rappel, le projet abandonné de WhatsApp prévoyait de rendre la messagerie inaccessible en l’absence de consentement de ses utilisateurs.

 

Que faut-il retenir ?

Cette récente décision nous démontre qu’il est nécessaire notamment de :

  • rédiger des mentions d’informations transparentes, claires et concrètes ;
  • cartographier précisément l’ensemble des flux de données, y compris en intra-groupe afin d’identifier les traitements nécessitant des information supplémentaire des personnes concernées.

 

Claudia Weber, avocat fondateur et Céline Dogan, avocat collaboratrice | ITLAW Avocats

Besoin d’aide pour y voir plus claire dans les mentions d’informations, les transferts de vos données et vérifier si vous êtes conforme ?

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions et trouver les solutions adaptées à votre contexte et vos besoins.

ITLAW Avocats mobilise ses talents et son expertise en matière de protection des données personnelles,  de projets informatiques complexes, de contrats, d’innovation et de propriété intellectuelle  ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes.

 

[1] CJUE, 15 juin 2021 n° C‑645/19

Nous contacter