Alors qu’Amazon a été condamnée d’une amende record de 746 millions d’euros par la Commission nationale de protection des données du Luxembourg en juillet 2021, c’est au tour de WhatsApp de se voir infliger une amende importante. 

 

En effet, le jeudi 2 septembre 2021, la Data Protection Commissioner (ci-après « DPC »), l’autorité de protection des données irlandaise, a prononcé à l’encontre de la filiale de Facebook une amende s’élevant à 225 millions d’euros. 

 

Il s’agit bel et bien d’une amende record en termes de protection des données personnelles. Elle détient la première place dans le classement des amendes les plus élevées prononcées par l’autorité irlandaise et la seconde place dans le classement des amendes au niveau européen (après celle d’Amazon). 

 

Faits reprochés et enquête 

 

Cette amende est l’aboutissement d’une enquête ayant démarré le 10 décembre 2018. Elle portait précisément sur l’utilisation des informations collectées et traitées par WhatsApp avec d’autres filiales de la maison mère, à savoir Facebook. 

 

Il s’agissait pour la DPC de se renseigner sur les possibilités de croisement de données entre les différentes entreprises. De manière plus générale, l’enquête portait sur le point de savoir si WhatsApp avait respecté ou non son obligation de transparence envers ses utilisateurs. 

 

Ce à quoi elle a en partie conclu que WhatsApp n’avait pas fourni suffisamment d’informations dans le cadre de l’enquête, mais aussi que l’application n’avait pas assez informé ses utilisateurs du sort qui allait être réservé à leurs données personnelles collectées.

 

En effet, une obligation d’information à toutes les personnes concernées pèse sur tous les organismes qui collecteraient des données sur Internet, et notamment les réseaux sociaux. 

 

Ces informations sont indiquées aux articles 13 et 14 du règlement général sur la protection des données (ci-après « RGPD »), et comprennent notamment la durée de conservation des données et la finalité du traitement. 

 

Le montant de l’amende et la sanction

 

L’amende prononcée devrait servir d’exemple pour les autres autorités de surveillance de protection des données européennes.

 

L’article 60 du RGPD impose une coopération entre l’autorité de contrôle chef de file, à savoir la DPC et les autres autorités de contrôle concernées.

 

L’autorité de contrôle chef de file est l’autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant concernant les traitements transfrontaliers, c’est-à-dire un traitement qui a eu sur le territoire de l’Union européenne par des responsables du traitement (ou sous-traitants) établi au sein de l’Union Européenne. 

 

En l’espèce, le dialogue entre les différentes autorités de surveillance n’a pas abouti à un consensus mais une procédure de règlement des différends a eu lieu le 3 juin 2021, conformément à l’article 65 du RGPD.

 

Initialement, la DPC désirait infliger à la filiale de Facebook une amende de 50 millions d’euros. Cependant, 8 des 40 autorités de surveillance ont refusé, et le comité européen de la protection des données (CEPD) a adopté une décision obligatoire visant à ce que l’autorité chef de file rehausse considérablement l’amende.

 

Cette procédure explique en grande partie le montant record de l’amende prononcée à l’encontre de WhatsApp.

 

La réaction de WhatsApp 

 

La société, qui s’apprêtait à payer une amende avoisinant les 77 millions, a été surprise de cette sanction.

 

A noter malgré tout que si le montant de l’amende se chiffre en millions, il ne représente finalement que 0,8% du chiffre d’affaires annuel mondial de Facebook.

 

Or, l’article 83 du RGPD indique qu’au premier niveau, les amendes peuvent aller jusqu’à 2%, et au second niveau, jusqu’à 4% du chiffre d’affaires annuel mondial de l’exercice précédent le plus élevé. 

 

La compagnie a d’ores-et-déjà affirmé qu’elle lançait une procédure d’appel, face à une amende qu’elle juge en décalage avec les précédentes qui ont pu être prononcées. Cette procédure pourra se faire auprès de la Cour Suprême irlandaise, ou bien auprès de la Cour de Justice Européenne. 

 

En attendant, l’autorité de surveillance irlandaise serait en train d’effectuer un grand nombre d’enquête notamment sur des sociétés d’envergure, tel qu’Apple, Google ou encore Twitter.