Les Commission de protection des données (DPC) a une amende WhatsApp Irlande Ltd 5,5 millions d’euros pour des infractions au RGPD et a ordonné à l’application de messagerie de mettre en conformité ses opérations de traitement de données dans un délai de six mois.
Il s’agit de la dernière amende infligée à une filiale de Métaplates-formes par le chien de garde des données après que Facebook et Instagram ont été frappés d’amendes totalisant 390 millions d’euros ce mois-ci. WhatsApp avait déjà été condamné à une amende de 225 millions d’euros par le DPC en 2021 pour atteinte à la vie privée.
À l’instar des amendes Facebook et Instagram, la sanction WhatsApp de 5,5 millions d’euros a été prononcée par le régulateur après avoir consulté des organisations homologues dans l’UE et renvoyé l’affaire devant le Comité européen de la protection des données (EDPB).
La plainte initiale a été déposée au nom d’utilisateurs allemands lorsque le RGPD est entré en vigueur en mai 2018, arguant que WhatApp s’était appuyé sur l’acceptation par les utilisateurs de ses conditions d’utilisation pour fournir une base légale au traitement de leurs données.
Le plaignant a déclaré qu’en subordonnant les services WhatsApp à l’acceptation des conditions d’utilisation, l’entreprise les obligeait à consentir au traitement de leurs données pour l’amélioration et la sécurité du service, arguant que cela contrevenait au RGPD.
À la suite de son enquête, le DPC a préparé un projet de décision pour d’autres autorités nationales européennes de données, dans lequel il a déclaré que WhatsApp avait enfreint le RGPD mais n’a recommandé aucune amende compte tenu de la sanction de 225 millions d’euros.
Le DPC et six autorités nationales chargées des données n’étaient pas d’accord sur la question de savoir si le RGPD empêchait WhatsApp de s’appuyer sur la base juridique du contrat qu’il affirmait, les six autorités faisant valoir que l’entreprise ne devrait pas être autorisée à s’appuyer sur ses conditions de consentement.
L’affaire a été portée devant le CEPD, qui a statué que WhatsApp n’était pas en droit de s’appuyer sur la base juridique du contrat comme constituant une base légale pour son traitement des données personnelles à des fins d’amélioration et de sécurité du service.
L’EDPB a également ordonné à DPC de mener une nouvelle enquête sur les opérations de traitement de WhatsApp Ireland afin de déterminer si elle traite des données à des fins de publicité comportementale à des fins de marketing ou pour les envoyer à des tiers et à des sociétés affiliées.
Cependant, le DPC a déclaré que l’EDPB ne pouvait pas lui ordonner de s’engager dans une “enquête ouverte et spéculative”, décrivant l’ordonnance comme une “portée excessive” et “problématique en termes juridictionnels”. Le DPC demandera l’annulation de l’ordonnance devant la Cour de justice de l’Union européenne.
Max Schremsl’avocat qui a déposé la plainte initiale au nom de l’utilisateur allemand, a déclaré : “Cette affaire concerne une simple question juridique. Meta affirme que le “contournement” [of GDPR] s’est produit avec la bénédiction de la DPC.
“Pendant des années, le DPC a fait traîner la procédure et a insisté pour que Meta puisse contourner le GDPR, mais il a maintenant été annulé par les autres autorités de l’UE. C’est globalement la quatrième fois consécutive que le DPC irlandais a été annulé.”
La DPC a désormais infligé à Meta des amendes de plus de 1,3 milliard d’euros, dont les amendes de 225 millions d’euros et 390 millions d’euros mentionnées, et des amendes de 265 millions d’euros et 405 millions d’euros infligées en septembre et novembre 2022, respectivement.
(Photo : AP Photo/Patrick Sison, fichier)
