En septembre dernier, la DPC irlandaise inflige une amende de 225 millions d’euros à Whatsapp. C’est le nouvel épisode d’une saga initiée en 2018 et il fait suite à une décision rendue par le régulateur européen. Le principal des griefs se concentre sur le manque de transparence tant à l’égard des utilisateurs que des non-utilisateurs de ce service. On vous en parle sur ce blog.
3 ans de procédures, de la DPC à l’EDPB
En décembre 2018, la Data Protection Commission a lancé des investigations à l’encontre de Whatsapp. L’autorité de protection des données irlandaises s’inquiétait particulièrement :
- des transmissions de données vers d’autres sociétés appartenant à Facebook :
- de manquements de Whatsapp à ses obligations d’information.
Elle a conduit ses enquêtes en tant qu’autorité chef de file. Au terme de cette démarche, elle a présenté en décembre 2020 un projet de décision aux autorités de contrôles des autres Etats Membres de l’Union européenne. Elle a alors proposé de prononcer une amende pouvant atteindre 50 millions d’euros.
Plusieurs Etats membres, dont la France, ont contesté cette décision. En l’absence de consensus, le régulateur européen, le CEPD, a été saisi.
Son verdict tombe le 28 juillet 2021 quand il a rendu sa décision. Le Comité s’est penché sur les griefs relevés par la DPC pour en écarter certains, en ajouter d’autres. Au final, il a demandé à l’autorité irlandaise de modifier sa décision et de réhausser l’amende pour la porter à 225 millions d’euros.
Tenant compte des remarques du régulateur, la DPC a publié sa nouvelle décision le 20 août.
Un manque de transparence à l’égard des non-utilisateurs
La fonctionnalité de contact permet à l’application mobile Whatsapp d’accéder au carnet de contacts d’un utilisateur inscrit et de déterminer qui, parmi ses connaissances, dispose d’un compte Whatsapp.
Ce faisant, la société collecte et traite les données d’un certain nombre d’individus, qu’ils soient ou non utilisateurs du service.
Certes elle a mis en place un processus de hachage des numéros de téléphone des non-utilisateurs. Pour autant, l’EDPB a considéré que les mesures en place ne rendent pas impossible la ré-identification de ces personnes.
En conséquence, les données ainsi collectées n’étant pas anonymisées mais simplement pseudonymisées, le RGPD s’applique.
C’est surtout le manque de transparence qui est reproché à Whatsapp. En partie parce que ces personnes n’ont pas conscience de faire l’objet de ce traitement de données même le régulateur européen a admis qu’il avait une portée limitée.
Il souhaite par contre qu’elles soient correctement informées des conséquences si elles venaient à créer un compte Whatsapp : ce statut d’utilisateur serait alors partagé avec les autres contacts disposant de son numéro de téléphone.
De nombreux autres manquements constatés en matière de transparence
La DPC irlandaise et l’EDPB ont examiné dans le détail la politique de confidentialité de Whatsapp. Leurs griefs sont l’occasion d’en savoir plus sur les attentes des régulateurs, en termes de transparence, s’agissant de traitements de données massifs. De la décision rendue par l’EDPB, on retiendra notamment les points suivants :
- Lorsqu’un traitement de données est réalisé sur la base de l’intérêt légitime, la politique de confidentialité doit détailler les divers intérêts poursuivis mais également les opérations de traitement correspondant et les catégories de données ainsi traitées.
- Cette information est essentielle car elle permet aux individus de prendre connaissance des traitements dont elles font l’objet et auxquels elles peuvent s’opposer du fait qu’ils reposent sur le fondement de l’intérêt légitime.
- La description des finalités et des opérations de traitement de données doit être claire. L’EDPB confirme une tendance à écarter les rédactions trop larges qui ne permettent pas de mesurer l’étendue du traitement concerné et qui en est destinataire : « fournir d’autres services business » ; « créer […] des services innovants et des fonctionnalités »
- L’accessibilité de l’information est un critère essentiel du niveau de transparence fourni. Si le régulateur européen ne condamne pas le renvoi de la politique de confidentialité à d’autres rubriques du site web, il reste attentif à ce que les utilisateurs finaux aient toute l’information requise en un minimum d’efforts.
- Le RGPD impose une obligation générale, un principe, de transparence et des obligations spécifiques. Compte tenu des manquements ainsi observés, le régulateur européen a estimé que Whatsapp n’a pas respecté le principe de transparence. C’est donc un grief qui vient s’ajouter aux autres.
La décision rendue en septembre dernier par la DPC relève d’autres insuffisances concernant :
- l’identification des traitements soumis au consentement ;
- les catégories de données traitées ;
- les critères utilisés pour déterminer certaines durées de conservation
Conclusion : Whatsapp case, affaire à suivre
Les autorités de régulation attendent de Whatsapp une réécriture de la politique de confidentialité dans une optique de transparence à l’égard :
- des utilisateurs du service Whatsapp ;
- des non-utilisateurs dont les données sont également collectées par la société.
Cette société disposera d’un délai de 3 mois pour ce faire, la DPC prévoyait quant à elle un délai de 6 mois.
La décision de l’EDPB témoigne de l’importance particulière accordée à la transparence. Le régulateur européen s’est montré notamment plus sévère que l’autorité irlandaise concernant les informations à apporter lorsqu’une société se base sur l’intérêt légitime.
Prenant en compte les contestations des autorités de régulation des autres Etats Membres, le régulateur a réhaussé le plafond de l’amende imposé à Whatsapp pour les divers manquements constatés.
L’amende sera désormais de 225 millions d’euros, ce qui constitue l’un des plus hauts montants prononcés en Europe. Cette décision s’ajoute à d’autres, telle celle rendue par la CNIL contre Amazon. Cela montre que les régulateurs s’intéressent de plus en plus aux GAFAM.
L’affaire n’en restera pas là puisque Whatsapp a annoncé faire appel de sa décision.
Elle montre en tout cas la nécessité pour les responsables de traitement :
- de soigner leurs politiques de transparence, s’agissant tant du contenu que de la manière de rendre accessible et de présenter cette information ;
- de cartographier les flux de données, notamment vers les autres sociétés de son groupe d’appartenance, puisque la politique de confidentialité devra les refléter.
Article rédigé par Maxime Jaillet
