Finis les chausse-trappes et bonjour les amendes !

Le 2 septembre 2021, la célèbre plateforme de communication WhatsApp a été condamnée par l’autorité régulatrice irlandaise à une amende record de 225 millions d’euros pour ses nombreuses infractions à la réglementation européenne sur la protection des données personnelles.

Cette peine, fruit d’une enquête initiée dès 2018, est symbolique à plus d’un niveau. Retour sur la chronologie d’une procédure fastidieuse et inédite…

10.12.2018

Début des investigations

L’affirmation de la soumission des multinationales au Règlement Général sur la Protection des Données (RGPD) 

La sanction prise à l’encontre de WhatsApp rejoint la désormais longue liste de celles prises à l’égard des grands magnats du numérique. En effet, dès lors qu’elles traitent des informations concernant des résidents de l’Union Européenne, les filiales d’entreprises étrangères se doivent de respecter les textes communautaires en matière de protection des données personnelles.

Là était bien tout le problème : dès les premiers mois suivant l’entrée en vigueur du RGPD, des doutes ont plané quant à la conformité de WhatsApp. De nombreuses plaintes ont été déposées contre l’application dans divers États membres de l’UE, dont la France. Étaient notamment mises en cause la transparence de ses échanges de données avec sa société mère, et l’utilisation envisagée par Facebook de ces renseignements.Compte tenu de la nature transfrontalière de cette affaire, une coopération entre les autorités de contrôle[1] concernées s’imposait. Ayant son principal établissement en Irlande pour des raisons fiscales évidentes, c’est l’autorité de ce pays qui, parmi les huit autres impliquées, fut naturellement désignée comme chef de file de l’enquête.

[1] Une autorité publique indépendante est chargée, dans chaque État membre de l’Union Européenne, d’informer et de contrôler l’application de la législation relative à la protection des données. En France, il s’agit de la « Commission Nationale de l’Informatique et des Libertés » (CNIL).

[1] Une autorité publique indépendante est chargée, dans chaque État membre de l’Union Européenne, d’informer et de contrôler l’application de la législation relative à la protection des données. En France, il s’agit de la « Commission Nationale de l’Informatique et des Libertés » (CNIL).

24.12.2020

Soumission par l’autorité de contrôle irlandaise de son projet de décision aux autres autorités

L’application hétéroclite du RGPD par les différentes autorités de contrôle nationales

A l’issue des investigations menées, plusieurs manquements à la règlementation applicable en la matière étaient relevés contre WhatsApp. Il lui était notamment reproché son manque de transparence et l’insuffisante information de ses utilisateurs quant au sort réservé à leurs données personnelles.

Procédure de coopération oblige, l’autorité régulatrice irlandaise était tenue – avant de prononcer une quelconque condamnation – de présenter préalablement aux autres « CNIL » son projet de décision finale.

Or, loin de l’approuver, chacune des huit autorités de contrôle a objecté à cette proposition, tant pour des raisons juridiques (désaccord sur les articles spécifiques du RGPD qui auraient été violés) que factuels (jugeant le montant de l’amende envisagée trop peu dissuasif).

Et pour cause, vous n’êtes pas sans savoir que l’Irlande offre un taux d’imposition particulièrement attractif visant à inciter les entreprises transnationales à y implanter le siège social de leur filiale européenne. Il ne serait pas question de contrecarrer ses plans par une application rigide du RGPD, susceptible de freiner les investissements des Google, Apple, Facebook, Twitter et autres géants du Web.

Fidèle à sa politique complaisante, le régulateur irlandais a donc initialement chiffré la sanction pécuniaire de WhatsApp à 50 millions d’euros. Les autres autorités de contrôle ont désapprouvé la façon dont avait été calculée cette amende, et dont le montant était jugé trop faible comparé aux infractions reprochées à l’application mobile.

Pour remédier à cette absence de consensus, le Comité Européen de la Protection des Données (CEPD) a alors été saisi de l’affaire.

03.06.2021

Déclenchement de la procédure de résolution des litiges

Le rôle décisif du Comité Européen de la Protection des Données

Une fois la procédure de résolution des litiges engagée, le CEPD était chargé d’adopter une décision contraignante qui s’imposerait à l’autorité de contrôle chef de file, à savoir la « CNIL » irlandaise.

Les conclusions du Comité sont sans appel : l’ampleur des manquements imputables à WhatsApp et l’étendue de la sanction projetée ont été largement sous-évaluées. Elle impose donc à l’autorité régulatrice irlandaise de modifier sa décision et :

28.07.2021

Adoption de la décision contraignante du CEPD

  • Redéfinir les infractions reprochées à la plateforme
  • Revoir le calcul de l’amende escomptée
  • Réduire de 6 à 3 mois le délai imparti à WhatsApp pour se mettre en conformité

La fin de « l’immunité » irlandais?

C’est donc forcée et contrainte que l’autorité chef de file a annoncé le 2 septembre dernier avoir relevé l’amende arrêtée à l’encontre de WhatsApp à hauteur de 250 millions d’euros, soit cinq fois plus que la somme prévue originairement. Il s’agit de la sanction la plus importante jamais prononcée par l’autorité de contrôle irlandaise.

02.09.2021

Décision finale de l’autorité de contrôle irlandaise

Intervention du Comité Européen de la Protection des Données s’est ainsi révélée salvatrice, forçant la « CNIL » irlandaise à adopter une position bien plus stricte en matière de protection des données.

Le cas « WhatsApp » laisse pointer l’espoir d’une harmonisation des jurisprudences et des sanctions des différentes autorités de contrôle nationales, sous l’influence du CEPD.

Une telle uniformisation est-elle possible ? Seul l’avenir nous le dira !

Nous rencontrons quotidiennement les manquements sanctionnés dans cette affaire. Certains sont pourtant relativement simples à corriger, mais nécessitent une volonté forte des directions d’entreprise.

L.H

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires