L’autorité irlandaise de protection des données (DPC) a sanctionné, le 20 août 2021, l’éditeur de l’application de messagerie WhatsApp[1] pour ne pas avoir indiqué la façon dont elle traitait les données à caractère personnel des Européens conformément aux exigences du RGPD.

Plus précisément, il est reproché à la société WhatsApp, propriété de Facebook[2] :

  • le manque de transparence sur la façon dont les données des personnes, non-utilisateurs de WhatsApp, étaient traitées ;
  • le manque de transparence sur la façon dont les données de ses utilisateurs étaient traitées ;
  • le manque de transparence sur les transferts de données entre la société WhatsApp et les autres sociétés du groupe Facebook.

Transparence des données personnelles des personnes n’utilisant pas WhatsApp

Concernant les données des personnes qui n’utilisaient pas l’application, il s’avère que WhatsApp collectait leur numéro de téléphone lorsque les utilisateurs de l’application synchronisaient leur carnet d’adresses, une fonctionnalité optionnelle de l’application permettant notamment à l’utilisateur d’être informé lorsqu’un de ses contacts souscrit à WhatsApp.

Les numéros de téléphone que l’utilisateur envoyait à WhatsApp n’étaient cependant pas stockés, mais étaient utilisés pour calculer des empreintes, qui, elles, étaient stockées.

La société indiquait ne pas être en mesure de retrouver le numéro initial de la personne à partir des empreintes, étant donné que chaque empreinte pouvait correspondre, au maximum, à 16 numéros de téléphone. Elle ne considérait donc pas ces empreintes comme des données à caractère personnel. La Commission n’a pas validé cette théorie et a considéré, au contraire, que ces empreintes étaient justement créées pour permettre à WhatsApp d’identifier les personnes au moment de leur éventuelle future inscription à WhatsApp. Les empreintes devaient donc être considérées comme des données à caractère personnel, au même titre que les numéros de téléphone[3].

Par ailleurs, la Commission a considéré que la société était bien responsable du traitement de ces numéros de téléphone synchronisés par les utilisateurs, contrairement à WhatsApp qui considérait l’utilisateur comme responsable. La Commission a indiqué que les objectifs du traitement de la fonctionnalité de synchronisation, le choix des données traitées et les moyens utilisés étaient décidés par la société. La société devait, par conséquent, être considérée comme responsable du traitement.

En permettant aux utilisateurs de synchroniser les numéros de téléphone de leur carnet d’adresse, dont des numéros qui faisaient référence à des personnes qui n’étaient pas utilisateurs de l’application, la Commission a, par conséquent, considéré que WhatsApp traitait des données personnelles de personnes non-utilisateurs de WhatsApp et que WhatsApp devait donc informer correctement[4] ces personnes.

Transparence des données personnelles des utilisateurs de WhatsApp

Concernant les données des personnes qui utilisaient l’application WhatsApp, la Commission a considéré que les informations communiquées par WhatsApp n’étaient pas suffisamment claires[5] : les informations étaient contenues dans un très long document avec d’autres documents, certaines informations étaient indiquées plusieurs fois et il était souvent difficile d’identifier les opérations qui étaient réellement appliquées sur les données. WhatsApp indiquait, par exemple, qu’il avait un intérêt légitime à collecter des données pour « créer, fournir, assister et maintenir des services et des fonctionnalités innovantes », ce qui ne permet pas à l’utilisateur de comprendre lesquelles de ses données sont utilisées, ni la nature des traitements réalisés.

La Commission a aussi considéré que les informations fournies par WhatsApp ne permettaient pas de comprendre :

  • les sociétés tierces avec lesquelles données étaient partagées[6] ;
  • les pays tiers avec lesquels les données étaient partagées[7] ;
  • la durée de conservation des données[8] ;
  • la possibilité de retirer son consentement[9] ;
  • si l’utilisateur doit fournir ses données pour utiliser l’application[10].

Transparence des données personnelles des utilisateurs avec les autres sociétés de Facebook

Concernant le transfert de données à caractère personnel entre WhatsApp et les autres sociétés de sa maison mère, Facebook, le détail des traitements effectués ont été dispersés dans de nombreux documents, aussi bien sur le site de WhatsApp que sur le site de Facebook. La Commission a considéré qu’une grande partie de ces informations étaient « dénués de sens », et qu’on ne pouvait pas s’attendre à ce que l’utilisateur trouve les informations pertinentes.

Sanction contre WhatsApp

Une amende de 225 millions d’euros[11] a été prononcée contre la société WhatsApp, soit 0,3 % du chiffre d’affaires et 0,87 % du résultat[12] de Facebook[13]. Un délai de trois mois a aussi été accordé à la société pour se mettre en conformité.

Appel de la décision par WhatsApp

WhatsApp a fait appel de cette sanction auprès d’une juridiction irlandaise et a demandé d’annuler la décision. Cette procédure est en cours de traitement.

WhatsApp a également entamé une procédure auprès de la CJUE pour demander l’annulation de la décision contraignante du Comité européen sur la protection des données (EDPB). L’EDPB était intervenu, car les autres Commissions nationales ne partageaient pas l’interprétation initiale de la Commission irlandaise. Le montant de l’amende a notamment été revu nettement à la hausse, tout comme la qualification des manquements qui étaient, par exemple, considérés initialement comme de simples négligences par la Commission irlandaise. La demande d’annulation de WhatsApp a toutefois été rejetée, car la Cour a considéré que la décision de l’EDPB est uniquement un « acte préparatoire, ou intermédiaire » et que la décision finale revient à la Commission irlandaise. Seule cette décision finale peut donc être contestée, ce que WhatsApp a d’ailleurs fait.

Lire :

Note : cette procédure a débuté le 10 décembre 2018 et aura donc duré presque trois ans.

Note 2 : cette procédure a été entamée suite à 88 plaintes de personnes européennes (allemandes, hollandaises, autrichiennes, espagnoles, françaises, finlandaises et polonaises).

Notes et références

  1. La société qui a fait l’objet de la sanction est WHATSAPP IRELAND LIMITED, la filiale européenne, basée à Dublin (Irlande) de FACEBOOK, basée aux États-Unis.
  2. L’application WhatsApp a été rachetée par Facebook en 2014 pour un montant de 19 milliards de dollars (source: Facebook, Février 2024, en anglais).
  3. Les numéros de téléphone des personnes sont considérés comme des données à caractère personnel car il est possible d’identifier l’auteur d’un numéro, directement ou indirectement, avec l’aide de l’opérateur téléphonique par exemple. Voir « Comment savoir si une donnée est à caractère personnel ? ».
  4. Le RGPD demande que certaines d’informations soient communiquées lorsque des données à caractère personnel sont collectées (source : RGPD, article 13 et 14). Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  5. Le RGPD demande que les informations concernant le traitement des données à caractère personne soient communiquées « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » (source : RGPD, article 12-1).
  6. Le RGPD demande de communiquer des informations aux personnes sur « les [éventuels] destinataires ou les catégories de destinataires des données à caractère personnel » (source : RGPD, article 13-1-e). Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  7. Le RGPD demande de communiquer des informations aux personnes dans le cas d’un « transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale » (source : RGPD, article 13-1-f). WhatsApp indiquait uniquement que les données étaient transférées « aux États-Unis ou dans des pays autres que celui ou vous vivez ». Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  8. Le RGPD demande de communiquer aux personnes « la durée de conservation [de leurs] données à caractère personnel » (source : RGPD, article 13-2-a). WhatsApp indiquait uniquement que les données étaient stoquées « jusqu’à que cela n’est plus nécessaire ou jusqu’à la suppression du compte », mais ne précisait pas une durée précise ou des critères précis. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  9. Le RGPD demande de communiquer aux personnes, si le traitement de données personnelles est fondé sur le consentement, « l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement » (source : RGPD, article 13-2-c). WhatsApp n’indiquait que la première partie du texte, ce qui pouvait créer une confusion pour l’utilisateur.
  10. Le RGPD demande de communiquer « si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données » (source : RGPD, article 13-2-e). WhatsApp indiquait uniquement que « la qualité de l’expérience peut être impactée, si [l’utilisateur] décide de ne pas fournir ses données », ce qui ne permet pas de savoir avec exactitude si l’utilisateur devait communiquer ses données et les conséquences exactes de son refus.
  11. L’amende de 225 millions d’euros contre WhatsApp est le total de quatre amendes : 90 millions d’euros pour un manquement à l’article 5-1-a (transparence du traitement), 30 millions d’euros pour un manquement à l’article 12 (transparence des informations), 90 millions d’euros pour un manquement à l’article 13 (informations à fournir lorsque des données sont collectées auprès de la personne concernée) et 75 millions d’euros pour un manquement à l’article 14 (informations à fournir lorsque les données n’ont pas été collectées auprès de la personne concernée).
  12. Le groupe Facebook a déclaré un chiffre d’affaires de $85,965 milliards en 2020 et un résultat de $29,146 milliards (source : Facebook, Résultats Annuels 2020, en anglais). Un taux de change de 1,133 a été appliqué.
  13. Le RGPD demande que le chiffre d’affaires mondial de l’entreprise soit pris en compte (source : RGPD, article 83-4 et 83-5). Le pourcentage est donc calculé à part des chiffres mondiaux de Facebook et pas uniquement les chiffres de WhatsApp. Voir « Comment est calculé le montant de l’amende en cas de non-respect du RGPD ? ».
Voir les sigles et acronymes
  • RGPD : Règlement Général sur la Protection des Données
  • DPC : Data Protection Commission
  • CJUE : Cour de justice de l'Union européenne
  • EDPB : European Data Protection Board