Recevez chaque jour toute l'actualité du numérique

x

La Cnil irlandaise sanctionne WhatsApp d'une amende de 225 millions d'euros pour violation du RGPD

La Data Protection Commission a infligé sa sanction la plus élevée à WhatsApp pour la violation de plusieurs dispositions du RGPD. Cette amende de 225 millions d'euros est le fruit de deux ans de compromis avec les autorités européennes de protection des données. WhatsApp, en désaccord avec le montant de la sanction, compte faire appel. 
Twitter Facebook Linkedin Flipboard Email
×

La Cnil irlandaise sanctionne WhatsApp d'une amende de 225 millions d'euros pour violation du RGPD
La Cnil irlandaise sanctionne WhatsApp d'une amende de 225 millions d'euros pour violation du RGPD © Sam Azgor – Flickr – C.C

La Data Protection Commission (DPC), l'équivalent irlandais de la Commission nationale de l'informatique et des libertés (Cnil), vient d'infliger une amende record à WhatsApp, a-t-elle révélé dans un communiqué publié ce jeudi 2 septembre. La filiale de Facebook a violé plusieurs dispositions du Règlement général sur la protection des données (RGPD), a finalement tranché l'autorité après plusieurs années de feuilleton judiciaire. 

La deuxième amende la plus élevée 
L'enquête a été ouverte en décembre 2018, quelques mois après l'entrée en vigueur du RGPD, en mai 2018. Il a donc fallu plus de deux ans pour que la DPC aboutisse à une décision historique puisqu'il s'agit de l'amende la plus élevée jamais infligée par la DPC et la deuxième plus élevée au sein de l'Europe après celle de 746 millions d'euros prononcée par le Luxembourg contre Amazon

Si la décision a pris autant de temps, c'est en partie parce que les différentes autorités de protection des données n'arrivaient pas à s'accorder sur le quantum de la peine. En effet, la DPC avait fournit un projet de décision en décembre 2020 en vertu de l'article 60 du RGPD. Huit autorités ont apposé leur véto à la sanction initiale de 50 millions d'euros jugée beaucoup trop faible au regard de la gravité des accusations. C'est finalement le Comité européen de la protection des données (EDPB), qui regroupe les Cnil européennes, qui a tranché en exigeant de la DPC une révision complète de sa décision. 

WhatsApp ne fournit que des informations lacunaires
Les reproches faits à WhatsApp ne sont absolument pas nouveaux. Quatre violations ont été retenues par la DPC (article 5,12,13 et 14 du RGDP). Ainsi, elle a estimé que la filiale de Facebook ne traite pas les données personnelles de ses utilisateurs de "manière licite, loyale et transparente" et qu'elle n'a pas fournit d'informations sur la manière avec laquelle les données sont collectées, stockées et transférées à des tiers. Le partage des informations entre WhatsApp et Facebook était au coeur de ce litige. 

Au-delà du versement des 225 millions d'euros, WhatsApp doit désormais réécrire sa politique de confidentialité afin d'ajouter les dispositions manquantes ou rendre celles déjà existantes plus claires pour les utilisateurs. Mais l'entreprise compte bien de ne se laisser faire et a déjà fait savoir qu'elle allait faire appel de la décision. En effet, elle estime que le montant de l'amende est disproportionné.

Cette affaire est donc loin d'être finie et illustre la difficulté avec laquelle l'Europe tente de faire respecter le RGPD. Cette difficulté découle notamment des tensions entre les différentes autorités. Depuis plusieurs mois, la DPC est vivement critiquée pour son inaction vis-à-vis des grandes entreprises technologiques alors qu'elle est l'autorité de référence. 

La fin du guichet unique ?
En effet, en vertu du mécanisme du "guichet unique" prévu par le RGPD, une société traitant des données dans un contexte transfrontalier n'a pour interlocutrice qu'une seule autorité de protection des données, à savoir l'autorité de l'Etat membre dans lequel est situé son établissement principal. Certains pays, dont la France, plaident donc pour une suppression de ce dispositif. Mais les responsables européens craignent que cela n'érode le principe de marché commun. "Cela supprimerait l'un des premiers piliers du droit européen et signifierait qu'une entreprise, au lieu d'être soumise à une unique autorité, serait soumise à 27 autorités", a déclaré une source citée par le Financial Times.

Un appel entendu par la Cour de justice de l'Union européenne (CJUE) qui a rendu le 15 juin dernier une décision allant dans ce sens. Elle a décidé qu'une autorité nationale pouvait porter une prétendue violation du RGPD devant une juridiction d'un Etat membre même si elle n'est pas chef de file. Ce litige opposait la Belgique et Facebook, qui soutenait que les autorités de ce pays ne sont pas compétentes puisque son siège européen se trouve en Irlande.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.