Consentement des utilisateurs, l’autorité irlandaise sanctionne WhatsApp Ireland.

Le 19 janvier 2023, l’autorité de protection des données irlandaise (la DPC) a annoncé la conclusion d’une enquête sur les conditions d’utilisation de WhatsApp Ireland Limited (WhatsApp Ireland). Elle annonce avoir infligé une amende de 5,5 millions d’euros à la société.

Le 25 mai 2018, une plainte est déposée contre WhatsApp Ireland. La société avait mis à jour ses conditions d’utilisation en invitant les utilisateurs à cliquer sur « accepter et continuer » pour indiquer leur adhésion auxdites conditions, étant précisé qu’en cas de refus de l’utilisateur, les services n’étaient plus accessibles.

Dés lors que les conditions étaient acceptées, la société considérait que l’utilisateur avait consenti à la conclusion d’un contrat avec elle et qu’au titre de l’exécution de ce contrat, le traitement des données des utilisateurs était nécessaire de sorte que ce traitement était conforme à l’article 6 (b) du RGPD, en vertu duquel « le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci».

A la suite de son enquête la DPC a constaté plusieurs manquements au règlement européen de la part de la société.

Sur le manquement à l’obligation de transparence. La DPC a constaté que la société WhatsApp Ireland n’avait pas clairement exposé aux utilisateurs la base juridique sur laquelle elle s’appuyait pour traiter leurs données ainsi que la finalité pour laquelle ces données étaient traitées. Cela constitue un manquement aux articles 12 et 13 du RGPD. Cependant, la DPC, approuvée par les 47 autorités de protection des données européennes a décidé de ne pas attribuer d’amende à la société sur ce fondement dés lors qu’elle avait déjà été sanctionnée à hauteur de 225 millions d’euros pour les mêmes faits dans la même période.

Sur l’utilisation de la base juridique du contrat. La DPC a considéré que WhatsApp Ireland pouvait s’appuyer sur la base juridique du contrat pour effectuer le traitement de données en cause ayant pour finalité l’amélioration du service et de la sécurité.

Six des autorités de protection des données européennes ont contesté cette analyse. Ne pouvant trouver un consensus avec ces dernières, la DPC a soumis la question au CEPD qui a adopté une décision le 5 décembre 2022.

La décision du CEPD. L’autorité européenne confirme la position de l’autorité irlandaise sur la violation par WhatsApp de son obligation de transparence. Elle a cependant infirmé sa position sur l’utilisation de la base juridique du contrat en estimant que la société ne pouvait invoquer cette base pour la finalité en question. Le CEPD a également demandé à l’autorité irlandaise de diligenter une nouvelle enquête afin qu’elle détermine la WhatsApp Ireland traite des données spéciales à des fins de publicité comportementale ou de marketing. La DCP considère cependant qu’il ne relève pas du pouvoir du CEPD d’ordonner des enquêtes aux autorités de régulation et soutient qu’il serait approprié de demander l’annulation de cette injonction.

Pour en savoir plus :– EDPB determines privacy recommendations for use of cloud services by public sector & adopts report on Cookie Banner Task Force

Avocat

L'équipe

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	1 an	Le cookie est défini par le plugin GDPR Cookie Consent pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes.

Cookie	Durée	Description
CONSENT	16 ans	Ces cookies sont définis via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes sur par exemple combien de fois la vidéo est affichée et quels paramètres sont utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte google, dans ce cas vos choix sont liés à votre compte, par exemple si vous cliquez sur « j'aime » sur une vidéo.
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke des informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant également un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.

Cookie	Durée	Description
IDE	1 an 24 jours	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.
yt-remote-device-id	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.

Cookie	Durée	Description
45342b9b1e	session	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».

Consentement des utilisateurs, l’autorité irlandaise sanctionne WhatsApp Ireland.

L'ÉQUIPE

LucasDallongeville

FrédériqueAllier

GuylaineLombard

Juliette Goutorbe

Christophe Fichet

Elise Dufour

LucileHerpoux

Benjamin Mourot

Nicolas Moreau

VictoriaLafite

Lucas
Dallongeville

Frédérique
Allier

Guylaine
Lombard

Juliette
Goutorbe

Christophe
Fichet

Elise
Dufour

Lucile
Herpoux

Benjamin
Mourot

Nicolas
Moreau

Victoria
Lafite