Après Facebook et Instagram, Whatsapp écope d’une amende pour non-respect du RGPD
La Commission irlandaise pour la protection des données a annoncé jeudi avoir infligé une amende de 5,5 millions d’euros à WhatsApp, après que des décisions similaires ont été prises à l’encontre de Facebook et Instagram.
La Commission irlandaise pour la protection des données (Data Protection Commission, DPC) a annoncé jeudi (19 janvier) avoir infligé une amende de 5,5 millions d’euros à WhatsApp, après que des décisions similaires ont été prises à l’encontre de Facebook et Instagram.
La base juridique utilisée par WhatsApp pour traiter les données personnelles a été jugée contraire au droit européen. L’entreprise a désormais six mois pour mettre en œuvre des mesures correctives, à savoir trouver une nouvelle base juridique.
Cette décision fait suite à une série de plaintes similaires déposées par l’ONG NOYB, dirigée par le célèbre activiste autrichien Max Schrems, qui contestait la manière dont les plateformes de la société Meta se conformaient au règlement général sur la protection des données (RGPD) de l’UE.
Le jour précédant l’entrée en application du RGPD, toutes les plateformes appartenant à Meta ont modifié leurs conditions générales afin de préciser qu’en utilisant le service, les utilisateurs acceptaient le traitement de leurs données personnelles à des fins d’amélioration du service et de sécurité.
« Nous sommes fermement convaincus que la façon dont le service fonctionne est à la fois techniquement et juridiquement conforme. Nous nous appuyons sur la nécessité contractuelle à des fins d’amélioration du service et de sécurité, car nous pensons que contribuer à la sécurité des personnes et offrir un produit innovant est une responsabilité fondamentale dans l’exploitation de notre service », a déclaré un porte-parole de WhatsApp à EURACTIV.
Meta a conçu ce modèle dit « de contrat » en tant que base juridique permettant le traitement des données personnelles en concertation avec la Commission irlandaise de protection des données. Il s’agit de la principale autorité responsable des affaires liées à la plupart des grandes entreprises technologiques — étant donné que ces dernières ont établi leur siège social européen dans ce pays.
M. Schrems estime que cette approche n’est rien de moins qu’un moyen de contourner le RGPD, car elle ne permet pas aux utilisateurs d’exercer leur droit de refus.
Dans sa décision initiale, le commissaire à la protection des données a estimé que les plateformes de Meta ne respectaient pas les exigences de transparence, mais a maintenu son modèle de contrat intact.
Le GDPR prévoit toutefois que d’autres autorités de protection des données peuvent intervenir dans les cas qui les concernent. Si aucun consensus ne peut être atteint — comme c’était le cas ici — la décision est soumise au mécanisme de résolution des litiges du Conseil européen de la protection des données (CEPD).
Ce dernier a rendu une décision contraignante en décembre, annulant la décision de l’autorité irlandaise et déclarant que le modèle de contrat était contraire au RGPD. Les décisions rendues à l’encontre de Facebook et d’Instagram ont donc suivi plus tôt ce mois-ci.
La décision de la Commission relative à WhatsApp a été transmise à Dublin avec quelques jours de retard, entraînant ainsi la clôture ultérieure de l’enquête. La sanction est toutefois nettement inférieure à celles infligées à Facebook et Instagram, qui s’élevaient respectivement à 210 et 180 millions d’euros.
Cet écart considérable entre les montants des amendes s’explique par le fait que les réseaux sociaux — contrairement aux services de messagerie — traitent les données à caractère personnel dans le but de proposer des publicités comportementales particulièrement lucratives. La mesure dans laquelle WhatsApp partage des données avec d’autres services appartenant à Meta est toutefois sujette à controverse depuis son acquisition par Facebook.
Dans sa décision, le CEPD a invité l’autorité irlandaise à mener une nouvelle enquête sur la question et à déterminer si WhatsApp procède au traitement de données, en particulier de catégories sensibles, à des fins de publicité comportementale ou autres.
La DPC estime toutefois qu’avec cette demande, le CEPD a outrepassé ses compétences, dans la mesure où il ne dispose pas du pouvoir de confier de nouvelles enquêtes à une autorité indépendante. L’organisme de surveillance irlandais a par conséquent annoncé qu’il demanderait l’annulation de cette partie de la décision du CEPD auprès de la Cour de justice de l’UE.
En revanche, NOYB considère qu’en refusant d’enquêter sur le partage des données au sein de Meta, la DPC a limité de manière injustifiée la portée de l’affaire contre WhatsApp. En effet, bien que l’application offre un service de messagerie chiffrée, elle collecte des métadonnées qui éclairent sur le comportement de ses utilisateurs en matière de communication.
« Nous sommes étonnés de voir à quel point la DPC ignore tout simplement le cœur de l’affaire après une procédure de 4 ans et demi. La DPC ne tient pas non plus compte de la décision contraignante du CEPD. Il semble que la DPC ait finalement rompu tout lien avec les autorités partenaires de l’UE et avec les exigences du droit européen et irlandais », a déclaré M. Schrems dans un communiqué.
À l’instar des deux autres plateformes concernées, à savoir Facebook et Instagram, WhatsApp a indiqué qu’elle ferait appel de cette décision.
[Édité par Anne-Sophie Gayet]
