Pourquoi WhatsApp a écopé en Europe d’une amende ré-évaluée à 225 millions d’euros

La « Cnil » irlandaise avait proposé fin 2020 à ses homologues européennes de mettre à l’amende WhatsApp et sa maison mère Facebook à hauteur de 30 à 50 millions d’euros. « Insuffisant ! », ont-elles estimé. Leur comité européen (CEPD) leur a donné raison et la note a plus que quadruplé.

La « Cnil » irlandaise, en l’occurrence la Data Protection Commission (DPC) dirigée par la commissaire Helen Dixon (photo de gauche), a annoncé le 2 septembre 2021 avoir infligé une amende de 225 millions d’euros à la société WhatsApp pour ne pas avoir respecté le règlement européen sur la protection des données personnelles (RGPD) – un record après la condamnation d’Amazon au Luxembourg à payer une sanction pécuniaire de 746 millions d’euros pour avoir aussi enfreint ce même RGPD.

Amende administrative insuffisante
WhatsApp devrait faire appel de cette décision. La filiale de Facebook, dont le siège européen est basé à Dublin (capitale de l’Irlande), a non seulement écopé d’une amende salée mais aussi reçu une « réprimande » – autrement dit un blâme – et une injonction de se mettre en conformité avec le RGPD (1), lequel est en vigueur depuis le 25 mai 2018. C’est d’ailleurs moins de six mois après cette date d’application que la « Cnil » irlandaise avait débuté son enquête (à partir du 10 décembre 2018) sur les pratiques de WhatsApp en termes de transparence des informations devant être fournies aux utilisateurs de cette messagerie instantanée comme aux non-utilisateurs du service.
« Cela comprend les informations fournies aux personnes concernées sur le traitement des données entre WhatsApp et d’autres entreprises Facebook [le réseau social Facebook, la plateforme de partage de photos et de vidéo Instagram, ou encore la messagerie Messenger, ndlr] », a précisé la DPC qui, conformément à l’article 60 du RGPD, s’est constituée en « chef de file » des autres autorités de contrôle (visà- vis donc des autres « Cnil » dans l’Union européenne) afin de « s’effor[cer] de parvenir à un consensus » entre elles. Après des mois d’enquête, la DPC avait soumis un projet de décision en décembre 2020 à toutes ses homologues européennes. Mais faut de consensus sur les objections de huit « Cnil » sur les vingt-sept, l’autorité irlandaise a déclenché le processus de règlement de différends le 3 juin dernier. Ce mécanisme de contrôle de la cohérence peu aboutir à ce que le Comité européen de la protection des données (CEPD) – ou European Data Protection Board (EDPB) – adopte une décision contraignante, comme ce fut le cas dans l’affaire « WhatsApp ». En effet, le 28 juillet 2021, cet organe européen indépendant présidé par Andrea Jelinek (photo de droite) – successeur du groupe de travail dit « Article 29 » sur la protection des données – a rendu sa décision. Notifiée à la « Cnil » irlandaise, celle-ci a été obligée « à réévaluer et à augmenter l’amende proposée sur la base d’un certain nombre de facteurs » détaillés dans la décision contraignante. C’est ainsi que la société WhatsApp Ireland Limited s’est vu imposer une amende de 225 millions d’euros. « Le CEPD charge la DPC de fixer un montant d’amende plus élevé pour les infractions constatées, par rapport à l’amende administrative envisagée dans le projet de décision, tout en restant conforme aux critères d’efficacité, la proportionnalité et la dissuasion », a notamment exigé le comité européen. Dans son projet de sanction établi en 2020, la « Cnil » irlandaise avait calculé son amende sur la base du chiffre d’affaires combiné du groupe Facebook (Inc.) et de sa filiale WhatsApp en Irlande pour l’année se terminant le 31 décembre 2019. Elle a cependant dû revoir à la hausse le montant, étant donné que sa décision finale allait intervenir cette année, donc devant se référer au chiffre d’affaires au 31 décembre 2020 – et en tenant compte de la hausse de 15 % environ de ces revenus annuels.
Quels sont les griefs faits à WhatsApp ? Plusieurs violations du RGPD ont été constatées non seulement pas la « Cnil » irlandaise mais aussi par ses homologues européennes qui ont obtenu auprès du CEPD un durcissement de la décision finale de la DPC sur certains points :
• Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée (article 13) : le CEPD charge la DPC de « constater dans sa décision finale qu’il y a eu infraction à [fournir les informations sur les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, ndlr (2)] » sur la base des insuffisances qu’elle a identifiées.

Anonymisation des données personnelles
En outre, le CEPD exige que la DPC inclue dans sa décision finale une constatation de violation – « au lieu de formuler une simple recommandation » – de l’obligation pour WhatsApp de fournir aux personnes concernées les informations complémentaires, notamment « sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données » (3) .
• Risques pour les libertés et droits fondamentaux des personnes concernées (article 4) : le CEPD conclut que le « tableau des hachures avec perte » (dans le cadre de la procédure dite de Lossy Hashing censée anonymiser les données personnelles), ainsi que les numéros de téléphone des utilisateurs associés en tant que liste de non-utilisateurs, constituent des données personnelles, et demande à la DPC de modifier son projet de décision en conséquence pour éviter un risques pour les libertés et droits fondamentaux des personnes concernées (4).

Objections et griefs des autres « Cnil »
De plus, le CEPD exige de la DPC qu’elle modifie son projet de décision « de manière à ce que le délai de six mois pour la conformité soit réduit à une période de trois mois » – à savoir a priori jusqu’au 2 décembre 2021 par rapport au 2 septembre de la décision finale.
• Principes relatifs au traitement des données à caractère personnel (article 5) : Compte tenu de la gravité, de la nature générale et de l’impact des infractions, la DPC est tenue d’inclure dans sa décision finale une constatation de violation du principe de transparence (5) selon lequel « les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ».
• Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée (article 14) : La DPC est tenue, là aussi, de modifier son projet de décision pour tenir compte du fait que la violation de l’obligation d’informations à fournir sur le traitement des données des non-utilisateurs sous la forme de listes de non-utilisateurs après la procédure d’anonymisation des données personnelles (Lossy Hashing).
• Concernant l’amende administrative : le CEPD charge la DPC de modifier son projet de décision afin de tenir compte du chiffre d’affaires total de toutes les sociétés composant l’entreprise unique Facebook (WhatsApp, Instagram inclus) pour calculer le montant de l’amende elle-même, et considérer la date de la décision finale (2021) à partir de laquelle les revenus de l’exercice précédent (2020) devrait être considéré.
• Concernant l’amende administrative (article 83) : la DPC a été contrainte d’amender son projet de décision afin de prendre également en compte les autres infractions – en plus de l’infraction la plus grave – dans le calcul de l’amende (6), sous réserve des critères d’efficacité, de proportionnalité et de dissuasion (7). Compte tenu du chiffre d’affaires annuel global de Facebook, ainsi que des infractions constatées et des facteurs aggravants correctement identifiés par la DPC, le CEPD a estimé que l’amende administrative initiale envisagée par la « Cnil » irlandaise – à savoir entre 30 et 50 millions d’euros – n’était pas suffisante et lui a demandé de la réévaluer. Pour autant, bien que les 225 millions d’euros représentent plus de quatre fois l’amende initialement envisagée par l’Irlande et qu’elle soit la deuxième plus élevée dans les sanctions pécuniaires sur les données personnelles en Europe, la somme à payer par Facebook ne représente que… 0,08 % de son chiffre d’affaires concerné. Mais pour la firme de Mark Zuckerberg, qui avait tenté en vain de bloquer l’enquête de la « Cnil » irlandaise devant la Haute cour de justice du pays, la sanction est jugée disproportionnée. « Le RGPD prévoit des amendes allant jusqu’à 4 % du chiffre d’affaires. Cela montre à quel point la DPC est encore extrêmement dysfonctionnelle », a taclé le 2 septembre l’Autrichien Max Schrems (photo ci-dessous), président de l’organisation à but non lucratif Noyb dont il est le fondateur (8).
Cette décision contraignante (9) adoptée par le CEPD dans la torpeur de l’été (le 28 juillet 2021 donc) a non seulement été adressée à la « Cnil » irlandaise mais aussi à ses homologues de l’Union européenne. La DPC a ainsi durci et annoncé sa décision finale rectifiée début septembre (10). La DPC avait un délai d’un mois à compter de la réception de la décision contraignante pour transmettre sa décision finale corrigée à la présidente du CEPD, actuellement Andrea Jelinek. La décision contraignante et la décision finale (11) qui en découle ont été rendues publiques (12).
Ce verdict à l’encontre de Facebook-WhatsApp fera date, en Europe mais aussi dans le monde. Cela restera un cas d’école pour tous les praticiens et les garants de la vie privée. Bien d’autre plaintes sont déjà sur le bureau de la DPC. Mais Facebook n’est pas au bout de ses peines, notamment depuis que WhatsApp a annoncé en début d’année à ses 2milliards d’utilisateurs de nouvelles conditions d’utilisation permettant – depuis mi-mai (13) – des transferts de données personnelles vers le réseau social.

Les « amis » consommateurs se rebiffent
C’est sur ces nouvelles règles controversées de WhatsApp que le Bureau européen des unions de consommateurs (Beuc) et huit de ses membres – dont l’association UFC-Que Choisir en France – ont déposé plainte contre la filiale de Facebook le 12 juillet dernier auprès de la Commission européenne et du CPC, réseau européen des autorités de consommateurs (14). Le Beuc accuse le numéro un mondial des réseaux sociaux de « violations multiples des droits des consommateurs de l’UE » et de « pressions indues sur ses utilisateurs pour qu’ils acceptent ses nouvelles conditions d’utilisation et sa politique de confidentialité » (15), alors qu’elles ne sont ni transparentes ni compréhensibles pour les internautes. @

Charles de Laubier