Le 15 juillet 2021, le Comité européen de la protection des données (CEPD) a adopté sa première décision contraignante urgente en application de l’art. 66(2) du RGPD suite à une demande de l’autorité de contrôle de Hambourg.
En l’espèce, l’autorité de Hambourg avait ordonné l’interdiction du traitement des données des utilisateurs de WhatsApp par Facebook Irlande pour ses propres finalités suite à une modification des conditions de service et de la politique de confidentialité applicables aux utilisateurs européens de WhatsApp Ireland Ltd.
Cependant, en vertu de l’article 66 du RGPD, l’autorité de contrôle irlandaise étant l’autorité de contrôle chef-de-file dans cette affaire, l’Autorité de Hambourg avait besoin de la validation du CEPD pour que ces mesures provisoires deviennent définitives.
Le CEPD a rejeté la demande de l’Autorité de Hambourg mais a exigeé que des investigations supplémentaires soient menées concernant les traitements de données mis en oeuvre par Facebook et Whatsapp Ireland.
Contexte légal
L’article 66 du RGPD prévoit une procédure d’urgence en vertu de laquelle une autorité de protection des données d’un État membre peut prendre des mesures provisoires à l’égard d’une organisation traitant des données à caractère personnel sans passer par le mécanisme de coopération.
Le mécanisme de coopération est applicable lorsqu’une organisation traite des données à caractère personnel dans plus d’un État membre. En effet, comme plusieurs autorités de protection des données sont compétentes dans l’UE, elles coopèrent entre elles et suivent une autorité de contrôle dite chef-de-file. Ce mécanisme est également appelé le mécanisme du guichet unique (voir ici pour plus d’informations à ce sujet).
Toutefois, les mesures provisoires prises par une autorité de protection des données dans le cadre de ce mécanisme d’urgence ne peuvent durer plus de trois mois et pour que celles-ci deviennent définitives, l’autorité concernée doit obtenir l’approbation du CEPD et prouver qu’il y a urgence à appliquer ces mesures.
Dans le cas présent, l’autorité de Hambourg a pris des mesures provisoires à l’égard de Whatsapp/Facebook Ireland et a demandé l’approbation du CEPD pour prolonger l’application de ces mesures.
Toutefois, le CEPD a rejeté la demande de l’autorité de Hambourg mais a demande que des investigations supplémentaires soit conduites.
Le CEPD a décidé que les conditions d’urgence n’étaient pas remplies mais demande à l’autorité irlandaise de mener des investigations supplémentaires.
L’adoption de mesures définitives n’est pas encore justifiée
Le CEPD a décidé que les conditions pour démontrer l’existence d’une infraction et d’une urgence n’étaient pas remplies.
Par conséquent, aucune mesure définitive ne peut être adoptée par l’autorité irlandaise de protection des données contre Facebook Ireland.
En effet, s’il a constaté qu’il y avait « seulement » une forte probabilité que Facebook Ireland traite déjà les données des utilisateurs de Whatsapp en tant que responsable (conjoint) du traitement pour :
- la finalité commune de sûreté, de sécurité et d’intégrité des données de WhatsApp Irlande et des autres sociétés de Facebook ;
- pour l’amélioration des produits des sociétés Facebook ;
- pour les communications commerciales ;
pour sa propre finalité en ce qui concerne l’API WhatsApp Business.
Le CEPD n’a pas pu déterminer avec certitude si ces traitements étaient actuellement mis en oeuvre ou non et en quelle qualité facebook Irlande les mettait en oeuvre (c’est-à-dire responsable de traitement, responsable conjoint ou sous-traitant).
En outre, le CEPD a jugé que l’article 61 (8) du RGPD, présumant l’urgence en cas de non-coopération d’une autorité, ne pouvait pas s’appliquer car l’autorité de Hambourg n’a pas pu démontrer que l’autorité irlandaise n’avait pas répondu à sa demande dans un délai d’un mois.
L’adoption des conditions mises à jour par Whatsapp, pourtant jugées aussi problématiques que la version précédente, ne justifie pas cependant l’urgence pour le CEPD d’ordonner à l’autorité irlandaise d’adopter des mesures définitives à l’encontre de whatsapp et facebook Irlande, en vertu de l’article 66(2) du GDPR.
Le CEPD demande à l’Autorité irlandaise de mener une enquête à l’encontre de Facebook Ireland et Whatsapp Ireland.
Compte tenu de la forte probabilité des infractions, le CEPD a estimé que cette affaire nécessitait des investigations supplémentaires rapides.
En particulier pour vérifier si, dans la pratique, les Sociétés Facebook effectuent des traitements qui impliquent la combinaison ou la comparaison des données des utilisateurs de WhatsApp IE avec d’autres ensembles de données traités par d’autres Sociétés Facebook dans le cadre d’autres apps ou services proposés par les Sociétés Facebook, facilités notamment par l’utilisation d’identifiants uniques.
Pour cette raison, le CEPD demande à l’autorité de contrôle irlandaise de mener, en priorité, une enquête légale afin de déterminer :
- si de telles activités de traitement ont lieu ou non, et si c’est le cas, si elles ont une base juridique appropriée en vertu de l’article 5, paragraphe 1, point a), et de l’article 6, paragraphe 1, du GDPR ;
- le rôle de Facebook IE, c’est-à-dire si Facebook IE agit en tant que sous-traitant ou en tant que (contrôleur conjoint), en ce qui concerne les opérations de traitement à des fins de marketing et de coopération avec les autres sociétés de Facebook ainsi qu’en ce qui concerne l’API commerciale Whatsapp.
Conclusion
Pour le CEPD, il n’est pas urgent de prendre des mesures définitives pour empêcher la mise en œuvre des traitements, principalement parce que la réalité de ces traitements n’est pas certaine. En revanche, il considère qu’il est urgent de mener des enquêtes.
Ce retard montre la limite de l’efficacité du RGPD dans la mesure où si les enquêtes sont urgentes, on pourrait s’attendre à ce que l’Autorité irlandaise ait déjà mené une enquête il y a plusieurs mois, lorsque Whatsapp a mis à jour ses conditions générales.
Pour toute question, n’hésitez pas à contacter Arnaud Blanc, avocat au barreau de Montpellier et expert en protection des données personnelles.
le rôle de Facebook IE, c’est-à-dire si Facebook IE agit en tant que sous-traitant ou en tant que (contrôleur conjoint), en ce qui concerne les opérations de traitement à des fins de marketing et de coopération avec les autres sociétés de Facebook ainsi qu’en ce qui concerne l’API commerciale Whatsapp.
