En Irlande, en France et dans l’ensemble de l’Union européenne, la question de la protection des données est importante et elle est régulée par le règlement général sur la protection des données (RGPD). La Data Protection Commission, équivalent irlandais de la commission nationale de l’informatique et les libertés ou CNIL, a pointé du doigt l’application WhatsApp et lui a infligé une sanction record. La filiale de Facebook devra s’acquitter de 225 millions d’euros.
La commission de la protection des données irlandaise estime sur WhatsApp n’a pas respecté le RGPD
C’est en décembre 2018 que l’enquête concernant Whatsapp a été ouverte, seulement quelques mois après l’entrée en vigueur du RGPD dans l’UE, en mai 2018. C’est plus de deux ans et demi plus tard qu’une décision a été prise par la Data Protection Commission (DPC). Un verdict qui a mis du temps à arriver puisque les différentes autorités de protection des données n’arrivaient pas à s’accorder sur la sanction à infliger.
En décembre 2020, la DPC avait fourni un projet de décision comme suggéré dans l’article 60 sur la coopération entre l’autorité de contrôle – chef de file – et les autres autorités de contrôle concernées. Huit autorités avaient apposé leur véto à la sanction initiale de 50 millions d’euros qui était considérée comme beaucoup trop faible. Au final, c’est le comité européen de la protection des données (EDPB) qui a demandé à la DPC de revoir sa copie.
La DPC a donc retenu quatre violations du RGPD :
- Article 5 : Principes relatifs au traitement des données à caractère personnel
- Article 12 : Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée
- Article 13 : Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
- Article 14 : Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée
225 millions d’euros d’amende en Irlande, 197 000 euros en Turquie
En retenant ces quatre motifs, la DCP estime que WhatsApp ne traite pas les données personnelles de ses utilisateurs de manière transparente, loyale et licite et qu’elle n’a pas fourni de manière explicite les façons dont les informations et données sont collectées, stockées et transférées, tout en pointant du doigt le partage d’information entre Whatsapp et Facebook.
225 millions d’euros, c’est l’amende que devra payer l’entreprise. C’est la seconde sanction la plus lourde au sein de l’Europe après celle prononcée par le Luxembourg contre Amazon pour un montant de 746 millions d’euros. De plus, la célèbre application de discussion doit réécrire ou modifier sa politique de confidentialité de telle manière à ce qu’elle soit beaucoup plus explicite envers ses utilisateurs.
Même si la sanction a été prononcée, WhatsApp a décidé de faire appel de la décision, considérant que le montant de l’amande est beaucoup trop conséquent. À noter que le lendemain de l’annonce de cette amende, c’est la Turquie avec son autorité de la protection des données (KVKK) qui a condamné la filiale à s’acquitter d’une amende de 1,95 million de livres turques, soit 197 000 euros, un montant moindre contrairement à celui annoncé par la DCP.