Traitement des données dans l'UE : WhatsApp change de base juridique
WhatsApp a mis à jour sa politique de confidentialité en fondant sa base juridique de traitements des données sur l’« intérêt légitime », suite à une sanction prononcée en janvier par la Commission irlandaise de protection des données.
WhatsApp a mis à jour sa politique de confidentialité lundi (17 juillet) en fondant sa base juridique de traitements des données sur l’« intérêt légitime », suite à une sanction prononcée en janvier par la Commission irlandaise de protection des données.
Le Règlement général sur la protection des données (RGPD), le cadre européen de protection de la vie privée en ligne, exige que les organisations qui traitent des données personnelles disposent d’une base juridique pour le faire. En janvier, l’autorité irlandaise de protection des données (Data Protection Commissioner, DPC) a décidé que la base juridique de WhatsApp n’était pas suffisamment fondée et a demandé à l’application de messagerie instantanée d’en trouver une nouvelle.
La Commission de protection des données est l’autorité compétente pour plusieurs affaires transfrontalières, car la plupart des grandes entreprises technologiques ont leur siège européen en Irlande. La décision de la DPC fait suite à une série de plaintes déposées par l’ONG de défense des droits numériques NOYB, dirigée par l’activiste autrichien Max Schrems.
NOYB a contesté la base juridique « contractuelle » de Meta, société mère de WhatsApp. Avant l’entrée en vigueur du RGPD, toutes les plateformes appartenant à Meta ont modifié leurs conditions générales afin d’indiquer qu’en utilisant leurs services, les utilisateurs acceptaient le traitement de leurs données personnelles à des fins d’amélioration continue du service et de la sécurité.
Alors que l’autorité irlandaise de protection de la vie privée s’était initialement rangée du côté de Meta, elle a été sommée de revoir sa copie par le Comité européen de la protection des données, qui regroupe toutes les autorités de protection des données de l’Union européenne. En conséquence, WhatsApp a été sanctionné à hauteur de 5,5 millions d’euros, tandis que Facebook et Instagram se sont vu infliger respectivement des amendes de 210 et 180 millions d’euros.
Passer à l’« intérêt légitime »
WhatsApp, comme les autres services Meta, a fait appel de la décision, mais doit entre-temps s’y conformer et passer à une nouvelle base juridique, qui a été trouvée en la base juridique de l’« intérêt légitime ».
Selon WhatsApp, en vertu de l’intérêt légitime, les utilisateurs pourront toujours s’opposer à l’utilisation de leurs informations.
Toutefois, des précédents suggèrent que cette base juridique pourrait être tout aussi fragile. L’année dernière, l’autorité italienne a mis en garde contre l’utilisation de la base juridique de l’intérêt légitime pour la diffusion de publicités personnalisées.
En outre, la Cour de justice de l’UE a récemment statué que l’utilisation par Facebook de données personnelles pour fournir de la publicité en ligne ne pouvait être justifiée sans le consentement des utilisateurs, ce qui laisse penser que la base juridique du « consentement » pourrait être la seule option viable.
« Comme l’a demandé la Commission irlandaise de protection des données, nous avons mis à jour la base juridique sur laquelle nous nous appuyons pour l’amélioration des services et la sécurité dans la région européenne. Cela ne change pas notre engagement envers la vie privée des utilisateurs, et les mises à jour de la politique de confidentialité dans la région européenne ne changent pas la manière dont nous traitons les données des utilisateurs », a déclaré un porte-parole de WhatsApp à EURACTIV.
Le porte-parole a ajouté que « où que vous soyez dans le monde, nous protégeons tous les messages personnels avec un chiffrement de bout en bout, ce qui signifie que personne, pas même WhatsApp, ne peut les lire ou les écouter ».
L’entreprise a précisé que les changements n’affecteront pas les utilisateurs, le chiffrement ou le partage des données avec d’autres plateformes appartenant à Meta.
Mises à jour de la politique de confidentialité
Par le passé, WhatsApp a également fait l’objet d’un examen minutieux de la part des autorités chargées de la protection des consommateurs à la suite d’une mise à jour de sa politique de confidentialité et de ses conditions générales d’utilisation, qui ont été déployées en janvier 2021.
Plusieurs organisations de consommateurs ont déposé des plaintes selon lesquelles l’entreprise exerçait une pression excessive sur les utilisateurs pour qu’ils acceptent les changements sans en expliquer correctement les implications, plaintes qui ont été jugées fondées par les autorités compétentes.
L’application a donc été invitée à mettre en place certaines mesures correctives, et notamment d’expliquer les changements et leur impact sur les droits des utilisateurs, de donner aux utilisateurs la possibilité de rejeter une mise à jour de manière aussi évidente que de l’accepter, ainsi que de garantir que les utilisateurs puissent retarder la décision sans être pressés par des notifications récurrentes.
EURACTIV comprend que, suite à ces mesures, WhatsApp a mis à jour sa politique de confidentialité à plusieurs reprises sans rencontrer de problèmes similaires.
