Le 2 septembre 2021, l’autorité irlandaise de protection des données (DPA) a infligé une amende de 225 millions d’euros à WhatsApp, l’application mobile de messagerie.
Cette décision fait suite à la décision contraignante du Conseil européen de la protection des données (EDPB), adoptée le 28 juillet 2021 mais publiée seulement le 2 septembre 2021. Cette décision contenait une instruction qui obligeait l’APD à augmenter son projet d’amende.
Selon le rapport d’enquête de 266 pages, la portée de la décision se limite à une évaluation du respect par WhatsApp de ses obligations de transparence en vertu du RGPD (c’est-à-dire le contenu de la notice d’information à fournir aux personnes concernées) et non sur la légalité des opérations de traitement en jeu.
À cet égard, l’Autorité irlandaise a estimé que Whatsapp :
- n’a pas fourni d’informations suffisantes à ses utilisateurs ; et
- n’a fourni aucune information à ses non-utilisateurs dont le numéro de téléphone mobile a été traité.
Cette décision, qui fait suite à l’amende de 745 millions d’euros infligée à Amazon par l’Autorité luxembourgeoise, pourrait être la confirmation d’un changement dans l’application du RGPD et pourrait être le premier pas vers un contrôle toujours plus grand du CEPD ou des grandes autorités de protection des données sur les autorités de surpervision plus complètes.
Elle nous apprend également beaucoup de choses sur les attentes en termes de contenu et de présentation de la notice d’information RGPD.
1. Contexte
L’autorité irlandaise de protection des données, après avoir reçu de nombreuses plaintes, a ouvert une enquête sur WhatsApp Ireland Ltd, le 10 décembre 2018.
Dans le cadre de ses investigations, l’autorité a vérifié si WhatsApp respectait ses obligations de transparence prévue dans le RGPD en ce qui concerne :
- la fourniture d’informations aux utilisateurs et aux non-utilisateurs du service WhatsApp ;
- le partage d’informations entre WhatsApp et d’autres sociétés de Facebook.
À la suite de cette enquête, l’Autorité a soumis un projet de décision à toutes les autorités de contrôle concernées (ACC), comme c’est généralement le cas lorsque les opérations de traitement sont relatives à des personnes concernées situées dans plus d’un État membre de l’UE.
Huit des ACC ont fait part de leur objectsions à la décision et dans la mesure où aucun consensus n’a été trouvé, elles ont déclenché la procédure de résolution des litiges (article 65 du GDPR) le 3 juin 2021.
Le 28 juillet 2021, le Comité européen de la protection des données (CEPD) a adopté une décision contraignante exigeant que l’autorité irlandaise réévalue et augmente l’amende proposée.
À la suite de cette réévaluation, l’Autorité a imposé une amende de 225 millions d’euros à WhatsApp, ainsi qu’un blâme et une injonction à WhatsApp de mettre son traitement en conformité.
2. Principales conclusions de l’Autorité irlandaise
Selon le commissaire irlandais, il y a eu quatre infractions, toutes considérées comme graves par nature et dues à la négligence de Whatsapp.
En effet, la décision rappelle que Whatsapp n’a fourni que 41% des informations prescrites aux utilisateurs et aucune des informations prescrites aux non-utilisateurs. Cette violation a été considérée comme grave, notamment en raison du nombre d’utilisateurs et de non-utilisateurs potentiels.
2.1. Manque de transparence concernant le traitement du numéro de téléphone portable des non-utilisateurs (la violation la plus grave)
Les opérations de traitement des données des non-utilisateurs sont soumises au RGPD
Lorsque les utilisateurs installent l’application Whatsapp sur leur téléphone mobile, ils peuvent autoriser Whatsapp à accéder à leurs contacts afin de savoir si ces contacts sont des utilisateurs existants de Whatsapp.
Si c’est le cas, ils apparaissent dans la liste de contacts Whatsapp des nouveaux utilisateurs ; sinon, les informations peuvent être conservées jusqu’à ce que les utilisateurs non existants deviennent des utilisateurs Whatsapp.
Par conséquent, lorsqu’un non-utilisateur installe l’application Whatsapp, il apparaît automatiquement dans la liste de contacts Whatsapp de tous ses contacts utilisant l’application Whatsapp.
Bien que Whatsapp soit en profond désaccord avec la position de l’autorité et qu’elle considère qu’elle traite des données anonymes ou qu’elle agit en tant que sous-traitant, l’autorité a considéré que Whatsapp agissait en tant que responsable de traitement dans le cadre de ces opérations de traitement.
Manque d’information des non-utilisateurs
En tant que responsable du traitement, Whatsapp aurait dû fournir une notice d’information aux non-utilisateurs conformément à l’article 14 du RGPD. En ne fournissant pas cette information, Whatsapp n’a pas respecté son obligation de transparence.
L’Autorité a considéré que ce manquement était le plus grave parmi les quatre manquements identifiés compte tenu du nombre estimé de non-utilisateurs concernés (126 millions) et du fait qu’ils n’avaient aucun contrôle ni connaissance d’aucune sorte sur le traitement de leurs informations personnelles.
Il n’a, par ailleurs, pas été jugé disproportionné de prendre contact avec ces non-utilisateurs (par exemple, par le biais d’informations fournies sur le site web de Whatsapp, etc.).
2.2. Manque de transparence concernant le traitement des données personnelles des utilisateurs de Whatsapp
Globalement, l’autorité a souligné qu’en ce qui concerne les finalités du traitement et leur base légale, les informations fournies n’étaient pas suffisamment claires ou détaillées.
En effet, elle a remarqué que :
– il n’était pas possible d’identifier quels traitements étaient fondés sur chaque base juridique et quelles catégories de données personnelles étaient concernées. Ces exigences sont surprenantes car l’article 13 du GDPR n’exige pas expressément d’identifier les opérations de traitement et les catégories de données (contrairement à l’article 14).
– la personne concernée n’est pas en mesure d’identifier la base juridique sur laquelle Whatsapp s’est appuyé pour soutenir une opération de traitement particulière, car cette dernière peut s’appuyer sur plusieurs bases juridiques pour une même finalité de traitement.
– les informations ont été fournies « au coup par coup », c’est-à-dire que les utilisateurs doivent faire des allers-retours entre différentes sections de la politique de confidentialité, des conditions de service ou de la FAQ, qui peuvent fournir des informations se chevauchant et parfois contradictoires.
– la loi sur laquelle les opérations de traitement sont fondées ou l’intérêt public poursuivi n’a pas été identifié.
3. Détails de l’amende
L’Autorité a considéré le manque de transparence comme une négligence (par opposition à intentionnelle), grave et a notamment pris en considération le grand nombre d’utilisateurs et de non-utilisateurs potentiels pour fixer le montant des amendes.
Whatsapp étant également une société contrôlée par Facebook, l’Autorité irlandaise a pris en considération le chiffre d’affaires mondial du groupe Facebook pour prendre sa décision.
Elle émet donc :
– un blâme,
– une injonction de mettre les traitements en conformité dans un délai de 3 mois à compter du jour suivant la date de signification de l’injonction, et
– une amende administrative adressée à WhatsApp, d’un montant de 225 millions d’euros répartis comme suit
- Pour la violation de l’article 5, paragraphe 1, point a), du GDPR (c’est-à-dire le principe de transparence), une amende de 90 millions d’euros ;
- Pour la violation de l’article 12 du GDPR (c’est-à-dire les droits des personnes concernées), une amende de 30 millions d’euros ;
- Pour la violation de l’article 13 du GDPR (c’est-à-dire l’information des utilisateurs), une amende de 30 millions d’euros ; et
- Quant à la violation de l’article 14 du GDPR, (c’est-à-dire les informations des non-utilisateurs), une amende de 75 millions d’euros.
CONTACT
Pour toute question, n’hésitez pas à contacter Arnaud Blanc, avocat français et expert des questions relatives à la protection des données personnelles
Cette publication est également disponible en en_GB.