Le commissaire irlandais à la protection des données a annoncé jeudi 19 janvier une sanction de 5,5 millions d’euros contre WhatsApp, à la suite de décisions similaires contre Facebook et Instagram.
La base juridique utilisée par WhatsApp pour le traitement des données personnelles a été jugée contraire au droit de l’UE. L’entreprise dispose désormais de six mois pour mettre en place des mesures correctives, à savoir trouver une nouvelle base juridique.
La décision faisait suite à une série de plaintes similaires déposées par l’ONG NOYB, dirigée par le célèbre activiste autrichien Max Schrems, qui contestait la manière dont les plateformes de Meta se conformaient au règlement général sur la protection des données (RGPD) de l’UE.
La veille de l’entrée en vigueur du RGPD, toutes les plateformes appartenant à Meta ont modifié leurs termes et conditions pour indiquer qu’en utilisant le service, les utilisateurs acceptaient le traitement de leurs données personnelles pour l’amélioration et la sécurité du service.
« Nous croyons fermement que le fonctionnement du service est à la fois techniquement et juridiquement conforme. Nous nous appuyons sur la nécessité contractuelle pour l’amélioration du service et à des fins de sécurité, car nous pensons qu’aider à assurer la sécurité des personnes et proposer un produit innovant est une responsabilité fondamentale dans l’exploitation de notre service », a déclaré un porte-parole de WhatsApp à EURACTIV.
Meta a conçu ce soi-disant modèle de contrat comme base juridique pour traiter les données personnelles en dialogue avec la Commission irlandaise de protection des données (DPC), qui est en charge des affaires concernant la plupart des entreprises Big Tech car c’est là qu’elles ont installé leur siège européen.
Pour Schrems, cette approche n’est rien de moins qu’un « contournement du RGPD » car elle ne permet pas aux utilisateurs de se retirer.
Dans sa décision initiale, le commissaire à la protection des données a conclu que les plateformes de Meta enfreignaient les exigences de transparence, mais a laissé le modèle de contrat intact.
Cependant, le GDPR prévoit que d’autres autorités de protection des données interviennent dans les cas qui les concernent. Lorsqu’aucun consensus ne peut être atteint, comme ce fut le cas ici, la décision passe par le mécanisme de règlement des litiges du comité européen de la protection des données.
Le conseil d’administration a rendu une décision contraignante en décembre, annulant la décision de l’autorité irlandaise en déclarant que le modèle contractuel enfreignait le cadre de protection des données de l’UE. Les décisions contre Facebook et Instagram ont suivi plus tôt ce mois-ci.
La décision du Conseil sur WhatsApp a été transmise à Dublin avec quelques jours de retard, ce qui a conduit à une clôture ultérieure de l’enquête. Cependant, la sanction est bien inférieure à celles infligées à Facebook et Instagram, qui représentaient respectivement 210 millions d’euros et 180 millions d’euros.
L’énorme différence dans les amendes est due au fait que les médias sociaux – par opposition aux services de messagerie – traitent des données personnelles pour fournir une publicité comportementale lucrative. Cependant, la mesure dans laquelle WhatsApp partage des données avec d’autres services appartenant à Meta est controversée depuis que Facebook l’a acquis.
Dans sa décision, le Conseil a demandé à l’autorité irlandaise de mener une nouvelle enquête sur la question et de déterminer si WhatsApp traite des données, en particulier des catégories sensibles, à des fins de publicité comportementale et à d’autres fins.
Cependant, pour le DPC avec cette demande, le Conseil a outrepassé sa compétence car il n’a pas le pouvoir de mandater de nouvelles enquêtes à une autorité indépendante. Par conséquent, l’organisme de surveillance irlandais a annoncé qu’il demanderait l’annulation de cette partie de la décision du conseil devant la Cour de justice de l’UE.
En revanche, NOYB considère qu’en refusant d’enquêter sur le partage de données au sein de Meta, le DPC a indûment limité la portée de l’affaire contre WhatsApp. Bien que l’application offre un service de messagerie cryptée, elle collecte des métadonnées pertinentes sur le comportement de communication de ses utilisateurs.
« Nous sommes étonnés de voir comment la DPC ignore simplement le cœur de l’affaire après une procédure de 4,5 ans. Le DPC ignore également clairement la décision contraignante du comité européen de la protection des données. Il semble que le DPC ait finalement rompu tous les liens avec les autorités partenaires de l’UE et avec les exigences de la législation européenne et irlandaise », a déclaré Schrems dans un communiqué.
Conformément aux deux autres décisions contre les plates-formes de Meta, WhatsApp a déclaré qu’il ferait appel.
[Edited by Nathalie Weatherald]