Publications
02/02/2023

Consentement des utilisateurs, l’autorité irlandaise sanctionne WhatsApp Ireland.

Le 19 janvier 2023, l’autorité de protection des données irlandaise (la DPC) a annoncé la conclusion d’une enquête sur les conditions d’utilisation de WhatsApp Ireland Limited (WhatsApp Ireland). Elle annonce avoir infligé une amende de 5,5 millions d’euros à la société.


Le 25 mai 2018, une plainte est déposée contre WhatsApp Ireland. La société avait mis à jour ses conditions d’utilisation en invitant les utilisateurs à cliquer sur « accepter et continuer » pour indiquer leur adhésion auxdites conditions, étant précisé qu’en cas de refus de l’utilisateur, les services n’étaient plus accessibles.

Dés lors que les conditions étaient acceptées, la société considérait que l’utilisateur avait consenti à la conclusion d’un contrat avec elle et qu’au titre de l’exécution de ce contrat, le traitement des données des utilisateurs était nécessaire de sorte que ce traitement était conforme à l’article 6 (b) du RGPD, en vertu duquel « le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci».

A la suite de son enquête la DPC a constaté plusieurs manquements au règlement européen de la part de la société.

Sur le manquement à l’obligation de transparence. La DPC a constaté que la société WhatsApp Ireland n’avait pas clairement exposé aux utilisateurs la base juridique sur laquelle elle s’appuyait pour traiter leurs données ainsi que la finalité pour laquelle ces données étaient traitées. Cela constitue un manquement aux articles 12 et 13 du RGPD. Cependant, la DPC, approuvée par les 47 autorités de protection des données européennes a décidé de ne pas attribuer d’amende à la société sur ce fondement dés lors qu’elle avait déjà été sanctionnée à hauteur de 225 millions d’euros pour les mêmes faits dans la même période.

Sur l’utilisation de la base juridique du contrat. La DPC a considéré que WhatsApp Ireland pouvait s’appuyer sur la base juridique du contrat pour effectuer le traitement de données en cause ayant pour finalité l’amélioration du service et de la sécurité.

Six des autorités de protection des données européennes ont contesté cette analyse. Ne pouvant trouver un consensus avec ces dernières, la DPC a soumis la question au CEPD qui a adopté une décision le 5 décembre 2022.

La décision du CEPD. L’autorité européenne confirme la position de l’autorité irlandaise sur la violation par WhatsApp de son obligation de transparence. Elle a cependant infirmé sa position sur l’utilisation de la base juridique du contrat en estimant que la société ne pouvait invoquer cette base pour la finalité en question. Le CEPD a également demandé à l’autorité irlandaise de diligenter une nouvelle enquête afin qu’elle détermine la WhatsApp Ireland traite des données spéciales à des fins de publicité comportementale ou de marketing. La DCP considère cependant qu’il ne relève pas du pouvoir du CEPD d’ordonner des enquêtes aux autorités de régulation et soutient qu’il serait approprié de demander l’annulation de cette injonction.

Pour en savoir plus :EDPB determines privacy recommendations for use of cloud services by public sector & adopts report on Cookie Banner Task Force