La Commission irlandaise de protection des données (DPC) a infligé jeudi de nouvelles amendes de 5,5 millions d’euros à WhatsApp de Meta pour violation des lois sur la protection des données lors du traitement des informations personnelles des utilisateurs.
Au cœur de la décision se trouve une mise à jour des conditions d’utilisation de la plate-forme de messagerie qui a été imposée dans les jours précédant l’application du règlement général sur la protection des données (RGPD) en mai 2018, exigeant que les utilisateurs acceptent les conditions révisées afin de continuer à utiliser le service ou risquer de perdre l’accès.
La plainte, déposée par l’association à but non lucratif NOYB, alléguait que WhatsApp avait enfreint le règlement en obligeant ses utilisateurs à « consentir au traitement de leurs données personnelles pour l’amélioration et la sécurité du service » en « conditionnant l’accessibilité de ses services à l’acceptation par les utilisateurs du Conditions d’utilisation mises à jour. »
« WhatsApp Ireland n’a pas le droit de s’appuyer sur la base juridique du contrat pour la fourniture de l’amélioration et de la sécurité du service », a déclaré le DPC dans un communiqué, ajoutant que les données collectées jusqu’à présent constituaient une violation du RGPD.
Outre l’amende, l’application de messagerie a également été sommée de mettre ses opérations en conformité dans un délai de six mois. Il convient de noter que Meta a son siège européen à Dublin.
Le DPC, cependant, a noté qu’il ne prévoyait pas d’enquêter pour savoir si WhatsApp traite les métadonnées des utilisateurs à des fins publicitaires, les qualifiant de « ouvertes et spéculatives ». NOYB, dans une réponse, a critiqué l’autorité pour avoir refusé d’agir en conséquence.
« WhatsApp dit qu’il est crypté, mais cela n’est vrai que pour le contenu des chats – pas les métadonnées », a déclaré Max Schrems de NOYB. « WhatsApp sait toujours avec qui vous discutez le plus et à quelle heure. Cela permet à Meta d’avoir une compréhension très précise du tissu social qui vous entoure. »
« Meta utilise ces informations pour, par exemple, cibler des publicités qui intéressaient déjà des amis », a ajouté Schrems. Il semble que le DPC ait maintenant tout simplement refusé de se prononcer sur cette affaire, malgré 4,5 ans d’enquête. »
WhatsApp a notamment reçu un retour de bâton au début de 2021, lorsqu’il a annoncé une mise à jour similaire de sa politique de confidentialité qui obligeait les utilisateurs à accepter les modifications pour continuer à utiliser le service, incitant la Commission européenne à émettre un avertissement, exhortant l’entreprise à « informer clairement » les consommateurs de son modèle économique.
« En particulier, WhatsApp est encouragé à montrer comment il prévoit de communiquer les futures mises à jour de ses conditions d’utilisation, et de le faire de manière à ce que les consommateurs puissent facilement comprendre les implications de ces mises à jour et décider librement de continuer à utiliser WhatsApp après ces mises à jour », a déclaré la Commission en juin 2022.
En plus de cela, WhatsApp a déjà fait l’objet d’un examen minutieux pour avoir fait demi-tour sur ses pratiques de partage de données avec la société mère Meta (alors Facebook) pour le ciblage publicitaire. En 2017, l’U.E. a condamné le géant des médias sociaux à une amende de 110 millions d’euros pour « avoir fourni des informations incorrectes ou trompeuses » lors de son enquête sur la fusion suite à l’acquisition de WhatsApp en 2014.
La dernière sanction intervient deux semaines après que le DPC a infligé une amende de 390 millions d’euros à Meta pour sa gestion des données des utilisateurs pour avoir diffusé des publicités personnalisées sur Facebook et Instagram, donnant à l’entreprise trois mois pour trouver une base juridique valide pour le traitement des données personnelles à des fins de publicité comportementale.
NOYB, pour sa part, a écrit au Comité européen de la protection des données (EDPB), déclarant que le chien de garde « a fermé les yeux sur les revenus générés par la violation du RGPD lors du calcul de son amende », et que « la manœuvre du DPC a sauvé Meta presque 4 milliards d’euros. »