La Commission de protection des données (DPC) a annoncé aujourd’hui la fin d’une enquête sur le traitement effectué par WhatsApp Ireland Limited (WhatsApp Ireland) en relation avec la prestation de son service WhatsApp, dans laquelle elle a infligé une amende de 5,5 millions d’euros à WhatsApp Ireland pour des violations du RGPD liées à son service. WhatsApp Ireland a également été invité à mettre en conformité ses opérations de traitement des données dans un délai de six mois.
L’enquête concernait une plainte déposée le 25 mai 2018 par un citoyen allemand au sujet du service WhatsApp. Avant le 25 mai 2018, date d’entrée en vigueur du RGPD, WhatsApp Ireland a mis à jour ses conditions générales d’utilisation et a informé les utilisateurs qu’ils devaient cliquer sur « accepter et continuer » pour accepter les conditions mises à jour pour continuer à accéder au service WhatsApp après l’introduction du RGPD. (Les services ne seraient pas accessibles si les utilisateurs refusaient de le faire).
WhatsApp Ireland considérait qu’en acceptant les conditions générales mises à jour, un contrat était conclu entre WhatsApp Ireland et l’utilisateur. Il a également affirmé que le traitement des données des utilisateurs en relation avec la prestation de son service était nécessaire pour l’exécution de ce contrat, notamment pour les fonctionnalités d’amélioration et de sécurité des services, de sorte que ces opérations de traitement étaient légales en référence à l’article 6 (1) (b) du RGPD (la base juridique « contrat » pour le traitement).
Le plaignant a soutenu que, contrairement à la position exprimée par WhatsApp Ireland, WhatsApp Ireland cherchait en fait à se prévaloir du consentement pour fournir une base juridique valable pour son traitement des données des utilisateurs. Ils ont argumenté que, en rendant l’accessibilité de ses services conditionnelle à l’acceptation des conditions générales mises à jour, WhatsApp Ireland « forçait » en fait les utilisateurs à consentir au traitement de leurs données personnelles pour l’amélioration et la sécurité des services. Le plaignant a soutenu que cela était contraire au RGPD.
Après une enquête approfondie, la DPC a préparé une décision provisoire et la soumise à ses homologues dans l’UE / l’EEE, également appelés Autorités de surveillance concernées (CSAs) conformément à l’article 60 du RGPD. Notamment, la DPC a constaté que :
En violation de ses obligations en matière de transparence, les informations relatives à la base juridique sur laquelle se fonde WhatsApp Ireland n’ont pas été clairement décrites aux utilisateurs, de sorte que les utilisateurs n’ont pas eu suffisamment de clarté sur les opérations de traitement qui étaient effectuées sur leurs données personnelles, à quelles fins et en référence à quelles des six bases juridiques identifiées à l’article 6 du RGPD. La DPC a considéré qu’un manque de transparence sur des questions fondamentales contrevenait aux articles 12 et 13 (1) (c) du RGPD. La DPC, ayant déjà infligé une très lourde amende de 225 millions d’euros à WhatsApp Ireland pour des violations de ces obligations de transparence et d’autres pendant la même période, n’a pas proposé l’imposition d’une amende ou de mesures correctives supplémentaires, ayant déjà fait cela dans une enquête précédente. Tous les 47 CSAs ont convenu de cet élément de la décision provisoire de la DPC.
Dans des circonstances où la DPC a constaté que WhatsApp Ireland ne se fondait en fait pas sur le consentement des utilisateurs pour fournir une base juridique valable pour le traitement de leurs données personnelles, l’aspect « consentement forcé » de la plainte ne pouvait pas être soutenu. De là, la DPC est passée à la question de savoir si WhatsApp Ireland était tenu de se fonder sur le consentement en tant que base juridique pour la prestation de son service, y compris pour les fins d’amélioration et de sécurité des services. Ici, la DPC a constaté que WhatsApp Ireland n’était pas tenu de se fonder sur le consentement. Aucun CSA n’a soulevé d’objection à cette analyse et, en conséquence, cet élément de la plainte a été rejeté. L’Autorité de surveillance allemande auprès de laquelle la plainte a été déposée est désormais responsable de adopter une décision séparée pour les parties qui ont été rejetées et de notifier…
- Conformité RGPD : tout comprendre et agir concrètement pour mettre votre organisation en conformité
- Sanction CNIL de France Travail : 5 millions d’euros, et après ? Le vrai problème des amendes RGPD dans le secteur public
- Mettre en conformité RGPD son site WordPress : conseils pratiques et solutions professionnelles
