Rechercher
S'inscrire
  • Accueil
  • Conformité
    • Privacy by designSensibilisationcookiesconsentementcompatible RGPDProcédures. RGPD
  • Métiers
    • télétravailSPSTOffre socleCertification SPSTiCSEexpert comptable
  • Cybersécurité
    • SécuritéSauvegardesCyberattaquephishing ou hameçonnageSIIV
  • Nos ouvrages
  • DPO Externalisé
  • Logiciel RGPD
  • 🇬🇧

L’enquête de la DPC sur les opérations de traitement de WhatsApp Ireland se termine par une amende de 5,5 millions d’euros et contraint de se mettre en conformité avec le RGPD dans un délai de six mois

Sanctions RGPD

L’enquête de la DPC sur les opérations de traitement de WhatsApp Ireland se termine par une amende de 5,5 millions d’euros et contraint de se mettre en conformité avec le RGPD dans un délai de six mois

Article rédigé par DPO Partagé

Le

La Commission de protection des données (DPC) a annoncé aujourd’hui la fin d’une enquête sur le traitement effectué par WhatsApp Ireland Limited (WhatsApp Ireland) en relation avec la prestation de son service WhatsApp, dans laquelle elle a infligé une amende de 5,5 millions d’euros à WhatsApp Ireland pour des violations du RGPD liées à son service. WhatsApp Ireland a également été invité à mettre en conformité ses opérations de traitement des données dans un délai de six mois.

L’enquête concernait une plainte déposée le 25 mai 2018 par un citoyen allemand au sujet du service WhatsApp. Avant le 25 mai 2018, date d’entrée en vigueur du RGPD, WhatsApp Ireland a mis à jour ses conditions générales d’utilisation et a informé les utilisateurs qu’ils devaient cliquer sur « accepter et continuer » pour accepter les conditions mises à jour pour continuer à accéder au service WhatsApp après l’introduction du RGPD. (Les services ne seraient pas accessibles si les utilisateurs refusaient de le faire).

WhatsApp Ireland considérait qu’en acceptant les conditions générales mises à jour, un contrat était conclu entre WhatsApp Ireland et l’utilisateur. Il a également affirmé que le traitement des données des utilisateurs en relation avec la prestation de son service était nécessaire pour l’exécution de ce contrat, notamment pour les fonctionnalités d’amélioration et de sécurité des services, de sorte que ces opérations de traitement étaient légales en référence à l’article 6 (1) (b) du RGPD (la base juridique « contrat » pour le traitement).

Le plaignant a soutenu que, contrairement à la position exprimée par WhatsApp Ireland, WhatsApp Ireland cherchait en fait à se prévaloir du consentement pour fournir une base juridique valable pour son traitement des données des utilisateurs. Ils ont argumenté que, en rendant l’accessibilité de ses services conditionnelle à l’acceptation des conditions générales mises à jour, WhatsApp Ireland « forçait » en fait les utilisateurs à consentir au traitement de leurs données personnelles pour l’amélioration et la sécurité des services. Le plaignant a soutenu que cela était contraire au RGPD.

Après une enquête approfondie, la DPC a préparé une décision provisoire et la soumise à ses homologues dans l’UE / l’EEE, également appelés Autorités de surveillance concernées (CSAs) conformément à l’article 60 du RGPD. Notamment, la DPC a constaté que :

En violation de ses obligations en matière de transparence, les informations relatives à la base juridique sur laquelle se fonde WhatsApp Ireland n’ont pas été clairement décrites aux utilisateurs, de sorte que les utilisateurs n’ont pas eu suffisamment de clarté sur les opérations de traitement qui étaient effectuées sur leurs données personnelles, à quelles fins et en référence à quelles des six bases juridiques identifiées à l’article 6 du RGPD. La DPC a considéré qu’un manque de transparence sur des questions fondamentales contrevenait aux articles 12 et 13 (1) (c) du RGPD. La DPC, ayant déjà infligé une très lourde amende de 225 millions d’euros à WhatsApp Ireland pour des violations de ces obligations de transparence et d’autres pendant la même période, n’a pas proposé l’imposition d’une amende ou de mesures correctives supplémentaires, ayant déjà fait cela dans une enquête précédente. Tous les 47 CSAs ont convenu de cet élément de la décision provisoire de la DPC.

Logiciel RGPD

Dans des circonstances où la DPC a constaté que WhatsApp Ireland ne se fondait en fait pas sur le consentement des utilisateurs pour fournir une base juridique valable pour le traitement de leurs données personnelles, l’aspect « consentement forcé » de la plainte ne pouvait pas être soutenu. De là, la DPC est passée à la question de savoir si WhatsApp Ireland était tenu de se fonder sur le consentement en tant que base juridique pour la prestation de son service, y compris pour les fins d’amélioration et de sécurité des services. Ici, la DPC a constaté que WhatsApp Ireland n’était pas tenu de se fonder sur le consentement. Aucun CSA n’a soulevé d’objection à cette analyse et, en conséquence, cet élément de la plainte a été rejeté. L’Autorité de surveillance allemande auprès de laquelle la plainte a été déposée est désormais responsable de adopter une décision séparée pour les parties qui ont été rejetées et de notifier…

Article précédent
Liste des autorités de protection des données (également appelées CNIL) en Europe
Article suivant
La mise en place d’une charte informatique : pourquoi ?
DPO Partagé
DPO Partagé
DPO EXTERNALISE - Disponible du Lundi au Samedi - Contactez nous au 01 83 64 42 98 ou par mail à contact@dpo-partage.fr DPO PARTAGE est le leader des DPO en données de santé et données sensibles. Urgence Violation Données +33 7 56 94 70 90

Intéressant ? Partagez-le !

Newsletter

Audit gratuit Conformité RGPD

spot_imgspot_img

A ne pas manquer !

Encore plus d'actualités
Informations RGPD

Prenez garde à ce piratage Gmail qui peut même contourner la double authentification

DPO Partagé DPO Partagé -
Aucun système informatique n'est inviolable, même ceux réputés parmi...

Les outils logiciels au cœur de la conformité RGPD : un atout indispensable pour les DPO

DPO Partagé DPO Partagé -
Logiciels conformité RGPD : La mise en conformité avec...

L’essentiel du rapport annuel RGPD: Une pierre angulaire de la conformité RGPD, un outil pour les DPO

DPO Partagé DPO Partagé -
Le rapport annuel RGPD constitue un élément crucial...

Sanction record pour hubside.store en matière de prospection commerciale

DPO Partagé DPO Partagé -
Le 4 avril 2024, la Commission Nationale de l'Informatique...

A propos de DPO PARTAGE

DPO Partage propose des DPO externalisés et est le premier média français spécialisé dans le RGPD, offrant expertise en conformité aux réglementations et informations sur la sécurité informatique.
Tel. : 01 83 64 42 98

Nos sites

Nos ouvrages

© 2023 DPO PARTAGE. All Rights Reserved.