L’autorité irlandaise de protection des données (DPC[1]) a sanctionné l’éditeur[2] de l’application de messagerie WHATSAPP, le 12 janvier 2023, pour des manquements au RGPD[3].

Lors de l’entrée en application du RGPD, en mai 2018, WHATSAPP a modifié son application et modifié ses conditions d’utilisation. Après ce changement, un écran était affiché aux utilisateurs à l’ouverture de l’application sur lequel était affiché le texte suivant : « Bienvenue sur WhatsApp ! Cliquez sur "Accepter et continuer" pour accepter les conditions d’utilisation de WhatsApp et la politique de confidentialité ».

Un unique bouton intitulé « Accepter et continuer » était également présent.

Suite une plainte d’un utilisateur allemand, qui considérait que cette obligation d’accepter les nouvelles conditions d’utilisation correspondait à un « consentement forcé » à des traitements de données, la Commission irlandaise a tenté de déterminer le fondement juridique des traitements listés dans les conditions d’utilisation de WHATSAPP.

La DPC a déterminé que lorsqu’un utilisateur cliquait sur le bouton « Accepter et continuer », l’utilisateur ne donnait pas son consentement. L’acceptation correspondait à la conclusion d’un contrat entre l’utilisateur et l’éditeur de WHATSAPP. La DPC précise que le cadre juridique « n’empêche pas à WHATSAPP de recourir à l’utilisation d’un contrat pour justifier des traitements de données nécessaires à la fourniture du service ».

La question était alors de savoir si les traitements listés dans les conditions d’utilisation de WHATSAPP étaient « nécessaires à la fourniture du service », notamment les traitements associés à « l’amélioration du service » et la « sûreté et sécurité » de l’application.

Pour la DPC, tous ces traitements peuvent être qualifiés de « nécessaires ». Les autres Commissions européennes n’ont toutefois pas partagé cet avis et ont demandé au Centre européen de la protection des données (CEPD) d’émettre une décision contraignant la Commission irlandaise à modifier son analyse et ses conclusions.

De manière générale, le CEPD a rappelé que le caractère « nécessaire » d’un traitement doit être interprété de manière stricte et doit être compris par les deux parties signataires du contrat. Ce n’était pas le cas pour WHATSAPP. Certaines finalités décrites dans les conditions d’utilisation étaient particulièrement « floues », notamment « l’amélioration du service » et la « sûreté et sécurité ». Le CEPD estime que les informations communiquées par WHATSAPP ne permettaient pas à « un utilisateur moyen de comprendre complètement ce que signifiaient les traitements », ni « d’être conscient de ses conséquences sur ses droits à la vie privée et à la protection des données ». Ce manque de transparence avait d’ailleurs déjà été relevé dans une précédente procédure[4], au cours de laquelle WHATSAPP avait déjà été sanctionnée.

Le CEPD a également alerté sur les risques liés à l’interprétation initiale de la Commission irlandaise. Cela rendrait « théoriquement licite toute collecte et réutilisation de données personnelles dans le cadre de l’exécution d’un contrat » et « encouragerait les autres opérateurs à utiliser la base juridique de l’exécution contractuelle pour tous leurs traitements de données à caractère personnel ».

Par ailleurs, suite à une proposition de la Commission italienne, le CEPD a également retenu un manquement à l’obligation de traiter les données de manière « loyale ». Le CEPD considère que WHATSAPP « a présenté son service aux utilisateurs de manière trompeuse », en ne leur permettant pas de connaître avec certitude la fondement des traitements réalisés, ce qui a « affecté leur contrôle sur le traitement de leurs données à caractère personnel et l’exercice de leurs droits ».

Enfin, le CEPD a demandé à la Commission irlandaise d’enquêter et de déterminer :

  • les traitements liés à la publicité ciblée ;
  • les traitements liés aux catégories spéciales de données ;
  • les traitements liés au « partage de données avec des sociétés affiliées ».

La Commission irlandaise n’a toutefois pas étudié les demandes du CEPD.

Une amende de 5,5 millions d’euros a été prononcée contre la société WHATSAPP, soit 0,005 % du chiffre d’affaires et 0,04 % du résultat[5] de FACEBOOK. Un délai de six mois a également été accordé à la société pour se mettre en conformité.

Lire :

Ma réaction à cette décision

Il n’y a plus de doutes à avoir. L’objectif de la Commission irlandaise n’est pas de protéger les droits et intérêts des personnes, mais de défendre les intérêts des (grosses) entreprises technologiques basées sur son sol. Elle n’en est d’ailleurs pas à son coup d’essai, car sur les cinq interventions du CEPD, quatre concernaient la DPC.

Cette fois-ci, la DPC a tenté de légaliser tous les traitements de données de ses protégés par un joli tour de passe-passe : autoriser tous les traitements par l’application d’un contrat, peu importe si les utilisateurs n’ont même pas conscience de signer un contrat, peu importe si les contrats sont incompréhensibles, peu importe si cela permet de contourner tous les principes fondamentaux du RGPD. Heureusement, les autres Commissions européennes veillent. La catastrophe était proche.

Lorsque le CEPD intervient et que les autres Commissions s’accordent sur une interprétation différence, ce qui est le cas ici, une décision appelée « contraignante » est imposée à la Commission réalisant la procédure. Cette Commission est ensuite (théoriquement) tenue d’appliquer la décision qui lui a été imposée.

Dans cette procédure, et contrairement aux précédentes décisions contraignantes, la DPC n’a pas toutefois pris en compte tous les éléments. Le CEPD lui a demandé de continuer ses investigations pour connaître réellement les traitements de données. La DPC ne l’a pas fait. Le CEPD lui a demandé d’imposer une mise en conformité des traitements de WHATSAPP sous trois mois. La DPC a retenu six mois. Cerise sur le gâteau : la DPC a même déposé un recours contre le CEPD pour tenter de faire annuler la décision contraignante. La DPC en a probablement marre de se faire rappeler à l’ordre et veut faire ce qu’elle veut. Il sera intéressant de suivre les suites données à ce recours.

Il sera aussi intéressant de connaître les résultats des enquêtes demandées par le CEPD. WHATSAPP utilise-t-il les données de ses utilisateurs à des fins de publicité ciblée ? WHATSAPP fait-il remonter les données vers sa maison mère, FACEBOOK ? On n’est pas près de le savoir. Ce semblant de procédure a déjà duré quatre ans.

Notes et références

  1. DPC : Data Protection Commission.
  2. La société qui a fait l’objet de la sanction est WHATSAPP IRELAND LIMITED, la filiale européenne, basée à Dublin (Irlande) de META (ex-FACEBOOK), basée aux États-Unis.
  3. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  4. WHATSAPP avait été sanctionné en août 2021 pour le manque de transparence de ces traitements de données. Une sanction de 225 millions d’euros avait été retenue. Voir « WHATSAPP sanctionnée pour avoir manqué de transparence sur la façon dont les données personnelles étaient traitées ».
  5. Le groupe Facebook a déclaré un chiffre d’affaires de $117,919 milliards en 2020 et un résultat de $13,77 milliards (source : Facebook, Résultats Annuels 2022, en anglais). Un taux de change de 0.9635 a été appliqué.