Le comité européen de la protection des données demande à l’autorité de contrôle irlandaise de modifier la décision relative à WhatsApp et de fournir des éclaircissements concernant le montant de l’amende infligée pour de multiples violations

2 September 2021

Bruxelles, le 2 juillet - Le 28 juillet, le comité européen de la protection des données a adopté une décision portant sur le règlement d’un litige sur la base de l’article 65 du RGPD. Cette décision contraignante vise à apporter une solution au litige né d'un projet de décision adopté par l’autorité de contrôle  irlandaise en tant qu’autorité de contrôle chef de file concernant WhatsApp Ireland Ltd. et à répondre aux objections formulées suite à celui-ci par plusieurs autorités de contrôle concernées (AC concernées). Conformément au RGPD, la décision contraignante du comité européen de la protection des données a maintenant été publiée, à la suite de la notification de la décision finale de l’autorité de contrôle irlandaise à l’entreprise.

Á l'issue de son évaluation, le comité européen de la protection des données a estimé qu’il convient que l'autorité de contrôle irlandaise modifie son projet de décision concernant la violation de la transparence, le calcul du montant de l’amende et le délai pour le respect de l’injonction.

En ce qui concerne la transparence, une grave violation des articles 12, 13 et 14, du RGPD a déjà mise en évidence dans le projet de décision de l’autorité de contrôle irlandaise. Le comité européen de la protection des données a relevé des manquements supplémentaires dans les informations communiquées, ceux-ci ayant une incidence sur la capacité de l’utilisateur de comprendre les intérêts légitimes poursuivis.  Dès lors, le comité européen de la protection des données a demandé à l’autorité de contrôle irlandaise d’inclure dans sa décision un constat de violation de l’article 13, paragraphe 1, point d) du RGPD.

En outre, le comité européen de la protection des données a énoncé clairement que, si toute violation des articles 12 à 14 du RGPD n’entraîne pas nécessairement une violation de l’article 15, paragraphe 1, point a), du RGPD, étant donné la gravité ainsi que la nature et l’impact généraux des violations en l’espèce, il y a eu violation du principe de transparence prévu à l’article 5, paragraphe 1, point a), du RGPD.

En ce qui concerne la collecte de données de non-utilisateurs par WhatsApp Ireland - c’est-à-dire celles d’utilisateurs qui décident d’utiliser la fonctionnalité de contact - le comité européen de la protection des données a estimé qu’en l’espèce, la procédure utilisée par WhatsApp Ireland ne conduit pas à l’anonymisation des données à caractère personnel collectées.

En ce qui concerne l’amende infligée et le calcul de l’amende, le comité européen de la protection des données a établi que le chiffre d’affaires d’une entreprise n’est pas exclusivement pertinent pour la détermination du montant maximal de l’amende, conformément à l'article 83, paragraphes 4 et 6 du RGPD, mais qu’il peut être pris en considération pour le calcul de l’amende proprement dite, afin de garantir que l’amende soit effective, proportionnée et dissuasive, conformément à l’article 83, paragraphe 1, du RGPD. En l’espèce, le comité européen de la protection des données a jugé que le chiffre d’affaires consolidé de la société mère (Facebook Inc.) doit être inclus dans le calcul du chiffre d'affaires.

En outre, le comité européen de la protection des données a, pour la première fois, fourni des éclaircissements sur l’interprétation de l’article 83, paragraphe 3, du RGPD. En cas de violations multiples pour les mêmes opérations ou des opérations liées, il convient que toutes les violations soient prises en considération lors du calcul du montant de l’amende. Ceci s’entend sans préjudice de l’obligation pour l’autorité de contrôle de tenir compte dans son appréciation de la proportionnalité de l’amende et de respecter le montant maximal de l’amende prévu par le RGPT.

Le projet de décision de l’autorité de contrôle irlandaise comportait en outre une injonction de mettre les opérations de traitement en conformité dans un délai de 6 mois. Le comité européen de la protection des données a estimé qu’il était primordial que le respect des obligations en matière de transparence soit assuré dans les plus brefs délais possibles. Dès lors, il a été demandé à l'autorité de contrôle irlandaise de ramener le délai de six mois octroyé pour le respect de l’injonction à un délai de trois mois.

Cette décision contraignante a été adressée aux autorités de contrôle concernées, et l'autorité de contrôle irlandaise, en tant qu’autorité de contrôle chef de file, a adopté sa décision nationale sur la base de la décision du comité européen de la protection des données. La décision nationale a fait l'objet d'une notification à WhatsApp Ireland, à laquelle était annexée la décision du comité européen de la protection des données.

La présente décision s’entend sans préjudice de toute évaluation que le comité européen de la protection des données pourrait être amené à réaliser dans d’autres cas, y compris avec les mêmes parties.

Pour de plus amples informations sur la procédure prévue à l’article 65, veuillez consulter les questions et réponses relatives à l’article 65.