- La Commission irlandaise de protection des données (DPC) a infligé une amende de 225 millions d’euros à WhatsApp pour ne pas avoir fourni suffisamment d’informations sur le RGPD.
- Le CEPD exige que les responsables désignent concrètement la finalité et, le cas échéant, les intérêts légitimes de chaque activité de traitement ainsi que les entreprises tierces impliquées.
- L’approche stricte de l’EDPB en matière de transparence oblige de nombreuses entreprises à apporter d’importantes modifications à leurs déclarations de confidentialité ; WhatsApp veut prendre les devants.
La Commission irlandaise de protection des données (Data Protection Commission, DPC) a annoncé le 2 septembre 2021 la conclusion d’une enquête de plus de deux ans et demi sur WhatsApp. Selon la Commission, l’enquête portait sur Communiqué de presse de la DPCLa Commission européenne a examiné si WhatsApp avait enfreint les obligations d’information prévues par le RGPD, notamment en ce qui concerne les échanges entre WhatsApp et les autres entreprises du groupe Facebook. WhatsApp Business n’était toutefois pas concerné.
Fin 2020, la DPC a soumis aux autorités de contrôle concernées un projet de décision conformément à l’article 60 du RGPD. Comme aucun accord n’a été trouvé, le Comité européen de la protection des données (CEPD) Fin juin 2021, la DPC a été instruiteLa Commission a décidé d’augmenter l’amende proposée. En conséquence, la DPC a infligé une amende de 225 millions d’euros à WhatsApp et lui a ordonné d’adapter le traitement des données.
Dans sa décision, le CEPD a notamment déclaré que le responsable du traitement doit indiquer, pour chaque activité de traitement, la finalité et, le cas échéant, les intérêts légitimes poursuivis. S’il s’agit des intérêts légitimes d’une autre entreprise, celle-ci doit également être mentionnée.. La déclaration de confidentialité et les conditions générales de WhatsApp ne répondent pas à ces exigences et ne sont pas assez claires et spécifiques. Par exemple, la déclaration “For providing measurement, analytics, and other business services […] The legitimate interests we rely on for this processing are : […] Dans l’intérêt des entreprises et d’autres partenaires pour les aider à comprendre leurs clients et à améliorer leurs activités, …”, parce que ce qu’on entend par “autres services commerciaux” n’est pas clair et qu’aucun intérêt légitime n’est mentionné spécifiquement en rapport avec cette finalité. Il n’est pas non plus précisé de quels “businesses or partners” il s’agit. De même, “[t]o create, provide, support, and maintain innovative services and features […]” n’est pas suffisamment défini.
Cette position du CEPD n’est pas forcément surprenante lorsqu’on lit ses lignes directrices en matière de transparence. Mais elle est très stricte. Si elle est prise au pied de la lettre, de très nombreuses entreprises devront réviser leur déclaration de confidentialité. Cela entraîne non seulement une charge de travail importante, mais aussi et surtout la nécessité d’adapter les déclarations de protection des données en cas d’adaptation des modèles commerciaux, mais aussi des processus quotidiens. Il faudra certainement un certain temps avant qu’une telle pratique ne se généralise, mais à long terme, il faut s’y attendre.
WhatsApp a apparemment annoncé qu’elle ferait appel de cette décision.