WhatsApp condamné à une amende de 225 millions d’euros pour violation du RGPD
4 min read
La plate-forme de messagerie appartenant à Facebook WhatsApp a été condamnée à une amende de 225 millions d’euros (193,4 millions de livres sterling / 266,6 millions de dollars) par Commissaire irlandais à la protection des données (DPC) sur les violations du Règlement général sur la protection des données (RGPD) de l’Union européenne (UE).
L’une des sanctions les plus importantes imposées en vertu du RGPD et la plus importante à ce jour en Irlande, l’amende intervient à l’issue d’une enquête remontant à décembre 2018, sur des allégations selon lesquelles WhatsApp n’aurait pas rempli ses obligations de transparence en ce qui concerne la fourniture de informations, et la transparence de celles-ci, aux utilisateurs et aux non-utilisateurs de son service.
Cela comprenait des informations fournies aux personnes concernées sur la façon dont les données étaient traitées entre WhatsApp et d’autres propriétés Facebook.
En tant qu’autorité de surveillance principale de WhatsApp au sein de l’UE, le DPC avait soumis un projet de décision sur son enquête il y a près de 12 mois.
Mais suite aux objections d’autres autorités de contrôle concernées (CSA) en Europe, un processus de règlement des différends a été déclenché.
Ce processus a maintenant été résolu suite à l’adoption d’une décision contraignante par le Comité européen de la protection des données (EDPB), en date du 28 juillet 2021.
Cette décision contraignante, qui peut être lu en entier ici, a chargé la DPC d’augmenter substantiellement l’amende, ce qui a été fait.
Le DPC a également imposé une réprimande et ordonné à WhatsApp de mettre ses activités de traitement de données en conformité par le biais d’un certain nombre de mesures correctives.
Dans des déclarations aux médias, WhatsApp, qui avait mis de côté plus de 70 millions d’euros en prévision d’une amende, s’est dit en désaccord avec les sanctions de la DPC, qu’il a qualifiées de « totalement disproportionnées ». La société a déclaré qu’elle avait fait tout son possible pour s’assurer qu’elle offrait aux utilisateurs des informations transparentes et complètes, et qu’elle ferait appel de la décision.
John Magee, qui dirige la pratique en matière de confidentialité, de protection des données et de sécurité du cabinet d’avocats DLA Piper’s Bureau irlandais, a déclaré : « La décision n’a pas été prise uniquement par le DPC et a montré la cohérence complexe et les processus de règlement des différends de l’UE à l’œuvre.
« Un aspect frappant de ce processus a été l’augmentation du montant de l’amende d’une fourchette de 30 à 50 millions d’euros initialement proposée par la DPC. L’amende souligne l’importance du respect des règles du RGPD en matière de transparence dans le cadre des utilisateurs, des non-utilisateurs et du partage de données entre entités du groupe.
Ioannis Fragkoulopoulos, directeur de la sécurité client chez Obrela Sécurité Industries, a ajouté : « Les conditions générales de confidentialité de WhatsApp ont été fréquemment examinées dans le passé et la société a dû défendre ses conditions générales à plusieurs reprises, les utilisateurs quittant la plate-forme en raison d’ambiguïtés et de changements de politique.
« Cette amende montre à quel point le gouvernement irlandais est sérieux en matière de transparence. Lorsque les consommateurs s’inscrivent sur des plateformes, ils doivent comprendre exactement comment leurs données seront utilisées et si elles seront partagées avec des tiers. Cette amende renforcera l’importance de cela et servira d’avertissement aux autres entreprises pour qu’elles soient plus transparentes. »
Cependant, tout en se félicitant de la décision du régulateur, noyb.eu président et avocat militant Max Schrems, qui a plusieurs affaires devant le DPC en Irlande, a déclaré que l’amende devait être relativisée.
« Le DPC reçoit environ 10 000 plaintes par an depuis 2018 et il s’agit de la première amende majeure », a déclaré Schrems. « La DPC a également proposé une amende initiale de 50 millions d’euros et a été contrainte par les autres autorités européennes de protection des données à passer à 225 millions d’euros, ce qui ne représente encore que 0,08 % du chiffre d’affaires du groupe Facebook. Le RGPD prévoit des amendes pouvant aller jusqu’à 4% du chiffre d’affaires. Cela montre à quel point le DPC est toujours extrêmement dysfonctionnel.
Dans un communiqué, Schrems a déclaré qu’il suivrait de près les procédures car il était fort probable que cette affaire soit bloquée devant les tribunaux irlandais pendant un certain temps.
“WhatsApp va sûrement faire appel de la décision”, a-t-il déclaré. « Dans le système judiciaire irlandais, cela signifie que des années s’écouleront avant qu’une amende ne soit réellement payée. Dans nos cas, nous avons souvent eu le sentiment que la DPC est plus préoccupée par les gros titres que par le travail préparatoire.
« Il sera très intéressant de voir si le DPC défendra réellement pleinement cette décision, car il a été essentiellement contraint de prendre cette décision par ses homologues européens. »
