WhatsApp condamné à une amende de 225 millions d’euros pour violation du RGPD

La plate-forme de messagerie WhatsApp, propriété de Facebook, a été condamnée à une amende de 225 millions d’euros (193,4 millions de livres sterling / 266,6 millions de dollars) par le commissaire irlandais à la protection des données (DPC) pour violation du règlement général sur la protection des données (RGPD) de l’Union européenne (UE).

L’une des sanctions les plus importantes émises dans le cadre du RGPD, et la plus importante à ce jour en Irlande, l’amende intervient à la fin d’une enquête remontant à décembre 2018, sur des allégations selon lesquelles WhatsApp n’avait pas rempli ses obligations de transparence en ce qui concerne la fourniture d’informations, et la transparence de celles-ci, aux utilisateurs et aux non-utilisateurs de son service.

Cela comprenait des informations fournies aux personnes concernées sur la façon dont les données étaient traitées entre WhatsApp et d’autres propriétés de Facebook.

En tant qu’autorité de surveillance principale de WhatsApp au sein de l’UE, la DPC avait soumis un projet de décision sur son enquête il y a près de 12 mois.

Mais à la suite des objections d’autres autorités de surveillance (CSA) concernées en Europe, un processus de règlement des différends a été déclenché.

Ce processus a maintenant été résolu à la suite de l’adoption d’une décision contraignante par le comité européen de la protection des données (CEPD), datée du 28 juillet 2021.

Cette décision contraignante, qui peut être lue dans son intégralité ici, a demandé au DPC d’augmenter considérablement l’amende, ce qui est maintenant fait.

Le DPC a également imposé une réprimande et ordonné à WhatsApp de mettre ses activités de traitement des données en conformité par le biais d’un certain nombre de mesures correctives.

Dans des déclarations aux médias, WhatsApp, qui avait mis de côté plus de 70 millions d’euros en prévision d’une amende, a déclaré qu’il n’était pas d’accord avec les sanctions de la DPC, qu’il a qualifiées de « totalement disproportionnées ». La société a déclaré qu’elle avait fait tout son possible pour s’assurer d’offrir aux utilisateurs des informations transparentes et complètes, et qu’elle ferait appel de la décision.

John Magee, qui dirige la pratique de la confidentialité, de la protection des données et de la sécurité au bureau irlandais du cabinet d’avocats DLA Piper, a déclaré: « La décision n’était pas la seule de la DPC et a montré la cohérence complexe de l’UE et les processus de règlement des différends à l’œuvre.

« Un aspect accrocheur de ce processus a été l’augmentation du montant de l’amende d’une fourchette de 30 à 50 millions d’euros proposée pour la première fois par le DPC. L’amende souligne l’importance du respect des règles du RGPD en matière de transparence dans le contexte des utilisateurs, des non-utilisateurs et du partage de données entre les entités du groupe.

Ioannis Fragkoulopoulos, directeur de la sécurité client chez Obrela Security Industries, a ajouté: « Les conditions générales de confidentialité de WhatsApp ont été fréquemment examinées dans le passé et la société a dû défendre ses termes et conditions à plusieurs reprises, les utilisateurs quittant la plate-forme en raison d’ambiguïtés et de changements de politique.

« Cette amende montre à quel point le gouvernement irlandais est sérieux en matière de transparence. Lorsque les consommateurs s’inscrivent sur des plateformes, ils doivent comprendre exactement comment leurs données seront utilisées et si elles seront partagées avec des tiers. Cette amende renforcera l’importance de cette mesure et incitera les autres entreprises à faire preuve de plus de transparence. »

Cependant, tout en saluant la décision du régulateur, le président de la noyb.eu et avocat activiste Max Schrems, qui a plusieurs affaires devant le DPC en Irlande, a déclaré que l’amende devait être mise en perspective.

« Le DPC reçoit environ 10 000 plaintes par an depuis 2018 et il s’agit de la première amende majeure », a déclaré Schrems. « La DPC a également proposé une amende initiale de 50 millions d’euros et a été contrainte par les autres autorités européennes de protection des données de passer à 225 millions d’euros, ce qui ne fait encore que 0,08% du chiffre d’affaires du groupe Facebook. Le RGPD prévoit des amendes allant jusqu’à 4% du chiffre d’affaires. Cela montre à quel point le DPC est toujours extrêmement dysfonctionnel. »

Dans un communiqué, Schrems a déclaré qu’il suivrait de près les procédures car il était très probable que cette affaire soit bloquée devant les tribunaux irlandais pendant un certain temps encore.

« WhatsApp fera sûrement appel de la décision », a-t-il déclaré. « Dans le système judiciaire irlandais, cela signifie que des années s’écouleront avant qu’une amende ne soit effectivement payée. Dans notre cas, nous avons souvent eu l’impression que le DPC se préoccupe davantage des gros titres que du travail préparatoire.

« Il sera très intéressant de voir si le DPC défendra réellement pleinement cette décision, car il a été fondamentalement contraint de prendre cette décision par ses homologues européens. »