Cela a été long à venir, mais Facebook ressent enfin la « chaleur » du régime européen de protection des données tant vanté : La Commission irlandaise de protection des données (DPC) vient d’annoncer une amende de 225 millions d’euros pour WhatsApp.
L’application de messagerie appartenant à Facebook fait l’objet d’une enquête de la DPC irlandaise, son principal superviseur des données dans l’Union européenne, depuis décembre 2018 – plusieurs mois après que les premières plaintes ont été lancées contre WhatsApp sur la façon dont elle traite les données des utilisateurs en vertu du Règlement général sur la protection des données (RGPD) de l’Europe, une fois qu’il a commencé à être appliqué en mai 2018.
Malgré la réception d’un certain nombre de plaintes spécifiques concernant WhatsApp, l’enquête entreprise par le CPD qui a été décidée aujourd’hui était ce que l’on appelle une enquête de « propre volonté » – ce qui signifie que le régulateur a sélectionné les paramètres de l’enquête lui-même, choisissant de se fixer sur un audit des obligations de « transparence » de WhatsApp.
Un principe clé du RGPD est que les entités qui traitent les données des personnes doivent être claires, ouvertes et honnêtes avec ces personnes sur la façon dont leurs informations seront utilisées.
La décision du CPD d’aujourd’hui (qui compte 266 pages) conclut que WhatsApp n’a pas respecté les normes requises par le RGPD.
Son enquête a examiné si WhatsApp remplit ou non ses obligations de transparence envers les utilisateurs et les non-utilisateurs de son service (WhatsApp peut, par exemple, télécharger les numéros de téléphone de non-utilisateurs si un utilisateur accepte qu’il ingère son répertoire téléphonique qui contient les données personnelles d’autres personnes) ; ainsi que l’examen de la transparence que la plate-forme offre sur son partage de données avec son entité mère Facebook (une question très controversée au moment où le revirement sur la vie privée a été annoncé en 2016, bien qu’il soit antérieur à l’application du GDPR).
En somme, le CPD a constaté une série d’infractions à la transparence par WhatsApp – couvrant les articles 5(1)(a) ; 12, 13 et 14 de la RGPD.
En plus d’émettre une pénalité financière importante, il a ordonné à WhatsApp de prendre un certain nombre de mesures pour améliorer le niveau de transparence qu’il offre aux utilisateurs et aux non-utilisateurs – donnant au géant de la technologie un délai de trois mois pour effectuer tous les changements ordonnés.
Dans une déclaration répondant à la décision du CPD, WhatsApp a contesté les conclusions et a qualifié la pénalité de « totalement disproportionnée » – tout en confirmant qu’elle fera appel, écrivant :
« WhatsApp s’engage à fournir un service sécurisé et privé. Nous avons travaillé pour nous assurer que les informations que nous fournissons sont transparentes et complètes et nous continuerons à le faire. Nous sommes en désaccord avec la décision d’aujourd’hui concernant la transparence que nous avons fournie aux gens en 2018 et les sanctions sont entièrement disproportionnées. Nous ferons appel de cette décision. «
Il convient de souligner que la portée de l’enquête du CPD qui a finalement été décidée aujourd’hui était limitée à l’examen des seules obligations de transparence de WhatsApp.
Le régulateur n’a explicitement pas examiné les plaintes plus larges – qui ont également été soulevées contre l’empire d’extraction de données de Facebook depuis plus de trois ans – sur la base juridique que WhatsApp revendique pour traiter les informations des gens en premier lieu.
Le DPC continuera donc à faire face à des critiques concernant le rythme et l’approche de l’application du RGPD.
En effet, avant aujourd’hui, le régulateur irlandais n’avait rendu qu’une seule décision dans une affaire transfrontalière majeure concernant la « Big Tech » – contre Twitter lorsque, en décembre, il a frappé le réseau social pour une violation historique de la sécurité avec une amende de 464 000 €.
La première sanction imposée à WhatsApp en vertu du RGPD est, en revanche, considérablement plus importante – reflétant ce que les régulateurs de l’UE (au pluriel) considèrent manifestement comme une violation beaucoup plus grave du RGPD.
La transparence est un principe clé du règlement. Et si une faille de sécurité peut être le signe d’une pratique négligée, l’opacité systématique à l’égard des personnes dont les données permettent à son empire adtech de réaliser de gros bénéfices semble plus intentionnelle ; en effet, on peut dire que c’est l’ensemble du modèle commercial.
Et – au moins en Europe – ces entreprises vont se voir obligées d’être franches sur ce qu’elles font avec les données des gens.
La RGPD fonctionne-t-il ?
La décision concernant WhatsApp va raviver le débat sur la question de savoir si le RGPD fonctionne efficacement là où il compte le plus : Contre les entreprises les plus puissantes du monde, qui sont aussi bien sûr des sociétés Internet.
En vertu du règlement phare de l’UE en matière de protection des données, les décisions sur les cas transfrontaliers nécessitent l’accord de tous les régulateurs concernés – à travers les 27 États membres – alors que le mécanisme de « guichet unique » du RGPD cherche à rationaliser la charge réglementaire pour les entreprises transfrontalières en canalisant les plaintes et les enquêtes via un régulateur principal (généralement où une entreprise a son principal établissement juridique dans l’UE), des objections peuvent être soulevées contre les conclusions de cette autorité de surveillance principale (et toute sanction proposée), comme cela s’est produit ici dans cette affaire WhatsApp.
À l’origine, l’Irlande avait proposé une sanction beaucoup plus faible, pouvant aller jusqu’à 50 millions d’euros, pour WhatsApp. Cependant, d’autres régulateurs de l’UE se sont opposés à son projet de décision sur plusieurs fronts – et le Conseil européen de la protection des données (EDPB) a finalement dû intervenir et prendre une décision contraignante (publiée cet été) pour régler les différents litiges.
Grâce à ce travail conjoint (certes plutôt douloureux), le CPD a dû augmenter le montant de l’amende infligée à WhatsApp. À l’image de ce qui s’est passé avec son projet de décision sur Twitter – où le CPH a également suggéré une sanction encore plus minuscule en première instance.
Bien qu’il y ait un coût évident en temps dans le règlement des différends entre la panoplie d’agences de protection des données de l’UE – le DPC a soumis son projet de décision de WhatsApp aux autres DPA pour examen en Décembre, Il a donc fallu plus de six mois pour régler tous les différends concernant le hachage avec perte de données de WhatsApp et ainsi de suite – le fait que des « corrections » soient apportées à ses décisions et que les conclusions puissent être adoptées – si ce n’est conjointement, mais au moins par le biais d’un consensus poussé par l’EDPB – est un signe que le processus, bien que lent et grinçant, fonctionne. Du moins sur le plan technique.
Malgré cela, le chien de garde irlandais des données continuera à faire l’objet de critiques pour son rôle surdimensionné dans le traitement des plaintes et des enquêtes relatives au RGPD – certains accusant le DPC de sélectionner les questions à examiner en détail (par son choix et sa formulation des cas) et celles à éluder entièrement (les questions sur lesquelles il n’ouvre pas d’enquête ou les plaintes qu’il abandonne ou ignore tout simplement), ses critiques les plus virulents affirmant qu’il reste donc un goulot d’étranglement majeur pour l’application effective des droits de protection des données dans l’UE.
La conclusion associée à cette critique est que les géants de la technologie comme Facebook bénéficient toujours d’un laissez-passer pour violer les règles européennes de protection de la vie privée.
Mais s’il est vrai qu’une pénalité de 225 millions d’euros équivaut à une contravention pour l’empire commercial de Facebook, les ordres visant à modifier la manière dont ces géants de la publicité peuvent traiter les informations des personnes ont au moins le potentiel d’être une correction bien plus significative des modèles commerciaux problématiques.
Mais là encore, il faudra du temps pour savoir si ces ordonnances plus larges ont l’impact recherché.
Dans une déclaration réagissant à la décision du DPC concernant WhatsApp, noyb (None of Your Business) – le groupe de défense de la vie privée fondé par Max Schrems, militant européen de longue date pour la protection de la vie privée, a déclaré : « Nous nous félicitons de la première décision du régulateur irlandais. Cependant, le CPD reçoit environ dix mille plaintes par an depuis 2018 et il s’agit de la première amende majeure. Le DPC a également proposé une amende initiale de 50 milliards d’euros et a été contraint par les autres autorités européennes de protection des données d’évoluer vers 225M€, ce qui ne représente toujours que 0,08% du chiffre d’affaires du groupe Facebook. Le GDPR prévoit des amendes allant jusqu’à 4% du chiffre d’affaires. Cela montre à quel point le CPD est encore extrêmement dysfonctionnel. »
Max Schrems a également noté que lui et noyb ont encore un certain nombre d’affaires en cours devant le CPD – notamment sur WhatsApp.
Dans d’autres remarques, ils ont soulevé des inquiétudes quant à la longueur de la procédure d’appel et à la question de savoir si le CPD ferait une défense musclée d’une sanction qu’il avait été forcé d’augmenter par d’autres APD de l’UE.
« WhatsApp va sûrement faire appel de la décision. Dans le système judiciaire irlandais, cela signifie que des années s’écouleront avant qu’une quelconque amende ne soit effectivement payée. Dans nos affaires, nous avons souvent eu le sentiment que le DPC est plus préoccupé par les gros titres que par le travail de fond. Il sera très intéressant de voir si le DPC défendra pleinement cette décision, puisqu’il a été forcé de prendre cette décision par ses homologues européens. Je peux imaginer que la DPC ne mettra tout simplement pas beaucoup de ressources sur l’affaire ou ne conclura pas d’accord avec WhatsApp en Irlande. Nous suivrons cette affaire de près pour nous assurer que le DPC applique réellement cette décision. »
https://techcrunch.com/2021/09/02/whatsapp-faces-267m-fine-for-breaching-europes-gdpr/
https://noyb.eu/en/statement-dpc-issues-eu-225-million-fine-whatsapp
