Blog Données personnelles
L’autorité de protection des données irlandaise prononce une amende record de 225 millions d’euros à l’encontre de WhatsApp
Le 2 septembre dernier, la Data Protection Commission (« DPC »), équivalent irlandais de la Commission national de l’informatique et des libertés (« CNIL »), a révélé par un communiqué avoir prononcé une amende de 225 millions d’euros à l’encontre de la société WhatsApp Ireland Ltd (« WhatsApp ») pour violation de plusieurs dispositions du Règlement général sur la protection des données (« RGPD »).
Cette décision intervient à la suite d’une enquête ouverte en 2018 par la DPC. Agissant en tant qu’autorité chef de file, cette dernière a soumis un projet de décision aux autres autorités de protection des données concernées en décembre 2020. Certaines d’entre elles avaient alors considéré que le montant initial de la sanction était trop faible. En l’absence de consensus, le Comité européen de la protection des données, regroupant les autorités de protection européennes, a adopté une décision le 28 juillet dernier exigeant de la DPC une révision de sa décision et notamment du montant de l’amende envisagée.
La DPC considère que WhatsApp a manqué aux obligations d’information prévues aux articles 13 et 14 du RGPD, relatives respectivement aux informations à fournir aux personnes concernées lorsque leurs données personnelles sont collectées auprès d’elles et auprès de tiers. En effet, selon le cas, les informations fournies par la société étaient incomplètes, inexactes ou difficilement accessibles. La DPC juge, dans ce contexte, que WhatsApp n’a pas respecté l’obligation de fournir l’information requise aux personnes concernées de façon concise, transparente, compréhensible et aisément accessible, en des termes, clairs, simples et précis, conformément à l’article 12 (1) du RGPD. De façon générale, la DPC considère que WhatsApp a failli à l’obligation de traiter les données personnelles des personnes concernées de façon transparente, prévue à l’article 5 (1) a) du RGPD et fondamentale en matière de protection des données. L’entreprise a trois mois à compter de la notification de la décision pour remédier aux manquements.
Il s’agit de l’amende la plus élevée prononcée par la DPC et de la deuxième plus élevée au sein de l’Union européenne après celle de 746 millions d’euros prononcée par la Commission Nationale pour la Protection des Données luxembourgeoise à l’encontre d’Amazon en juillet dernier. Pour établir le montant de l’amende, la DPC a notamment tenu compte de la commission d’infractions multiples et des chiffres d’affaires de WhatsApp et de sa société mère (Facebook inc.).
WhatsApp a fait savoir qu’elle compte faire appel de la décision, estimant le montant de l’amende disproportionné.
La décision rendue par la DPC le 20 août 2021 est accessible ici.
La décision rendue par le Comité européen de la protection des données le 28 juillet 2021 est accessible ici.