RGPD : WhatsApp condamné à une amende de 225 millions d’euros

RGPD : WhatsApp condamné à une amende de 225 millions d’euros

Par Amanda Dubarry et Virgile Servant-Volquin

La DPC (Data Protection Commission), l’équivalent de la CNIL en Irlande, a annoncé le 2 septembre dernier avoir sanctionné WhatsApp à hauteur de 225 millions d’euros.

 

Cette condamnation s’inscrit à la suite de l’amende record infligée par la CNPD (l’autorité luxembourgeoise de protection des données) à l’encontre d’Amazon, à hauteur de 746 millions d’euros .

Retour sur la décision de la DPC du 2 septembre 2021

Une longue procédure

Les investigations de la DPC ont commencé au mois de décembre 2020 à la suite de soupçons de non-conformité de la filiale de la société Facebook à ses obligations d’information de ses utilisateurs et de ses non-utilisateurs.

La DPC, en sa qualité d’autorité chef de file, puisque WhatsApp a installé son siège européen en Irlande, a soumis deux ans plus tard une proposition de décision aux autorités nationales concernées par les manquements de WhatsApp, en application du mécanisme de coopération prévu à l’article 60 du RGPD.

Huit autorités nationales de protection des données ont toutefois reproché à la DPC le montant trop bas de l’amende envisagée, qui était compris entre 30 et 50 millions d’euros.

Dans l’incapacité de trouver un consensus, le mécanisme de résolution des conflits du RGPD prévu aux articles 63 à 65 a été déclenché. Dans une telle configuration, il est en effet prévu que le Comité européen pour la protection des données adopte une décision contraignante à la majorité des deux tiers de ses membres.

La décision prise par le Comité européen de la protection des données (CEPD) a été notifiée le 28 juillet 2021 à la DPC, qui a dû en conséquence réajuster le montant de l’amende à 225 millions d’euros.

Or, celle-ci a été jugée « injustement disproportionnée » par un représentant du groupe WhatsApp, qui a annoncé son intention de faire appel de la décision. De nouveaux développements sont donc à prévoir.

Pour rappel, le RGPD prévoit que les autorités peuvent prendre des sanctions allant jusqu’à 4% du chiffre d’affaires global du groupe.

En l’espèce, l’amende ici retenue équivaut à 0.26% du CA global de Facebook (86 milliards de dollars en 2020).

Les manquements reprochés à WhatsApp

La décision publiée par la DPC retient des manquements de WhatsApp aux articles 5(1)a), 12,13 et 14 du RGPD. WhatsApp aurait donc :

  • Manqué à l’obligation de traiter de manière licite, loyale et transparente les données à caractère personnel des utilisateurs
  • Manqué à l’obligation d’informer de manière transparente les personnes concernées de la nature des données prélevées et des modalités d’exercice des droits.

La DPC retient ainsi que WhatsApp a manqué de précision dans la détermination des bases légales nécessaires au traitement des données et notamment lors du recours à la base légale du contrat[1], mais également aux intérêts légitimes du responsable du traitement[2].

La DPC note que ces deux bases légales étaient identifiées pour les mêmes finalités de traitement, ce qui témoigne du manquement de WhatsApp à clairement identifier la base légale la plus adaptée au traitement.

Il est en outre retenu que l’information n’est pas délivrée de manière claire, transparente et intelligible, a fortiori dans la mesure où des mineurs sont utilisateurs du service.

  • En effet, WhatsApp se contentait d’une référence aux « informations additionnelles accessibles dans les CGU » pour présenter les bases légales du traitement. L’information était par suite présentée de manière éparse dans différents onglets[3]
  • WhatsApp ne présente pas clairement les conditions dans lesquelles les données des utilisateurs européens peuvent être transférées vers un pays tiers, et notamment aux Etats-Unis[4]
  • WhatsApp n’indique pas à ses utilisateurs de manière claire les critères de durée de conservation des données[5] et le droit de retirer son consentement[6].

Le réveil de l’autorité irlandaise ?

La CNPD et la DPC étaient réticentes à prononcer des sanctions importantes depuis l’entrée en vigueur du RGPD.

En l’espace d’un mois, elles semblent avoir pris leur rôle au sérieux en prenant respectivement les places n°1 et 2 sur le podium des sanctions les plus importantes infligées contre des GAFA.

Il convient toutefois de nuancer ces observations.

En effet, le montant de 225 millions d’euros n’a été imposé que parce que les autorités également concernées ont contesté la position initiale de la DCP ouvrant ainsi une procédure de contestation, qui a poussé l’autorité de contrôle irlandaise à quadrupler le montant initialement envisagé.

Enfin, la proportion que représente cette amende au vu du CA global de Facebook, reste, à l’instar de l’amende de la CNPD contre Amazon, infime au regard du CA global de ces groupes.

***

Le Cabinet HAAS Avocats est à votre disposition pour vous accompagner dans la mise en conformité au RGPD de vos traitements de données. Pour nous contacter, cliquez-ici.

 

[1] Point 333, Decision of the Data Protection Commission made pursuant to Section 111 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation

[2] Point 360, Decision of the Data Protection Commission made pursuant to Section 111 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation

[3] Point 336, Decision of the Data Protection Commission made pursuant to Section 111 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation

[4] Point 457, Decision of the Data Protection Commission made pursuant to Section 111 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation

[5] Point 476, Decision of the Data Protection Commission made pursuant to Section 111 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation

[6] Point 496, Decision of the Data Protection Commission made pursuant to Section 111 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation

Amanda DUBARRY

Auteur Amanda DUBARRY

Suivez-nous sur Linkedin