Messagerie instantanée chiffrée du groupe Facebook, WhatsApp a été condamnée jeudi à une amende de 225 millions d'euros par la CNIL irlandaise. Pour elle, il y a eu violation des règles de confidentialité sacralisées par le RGPD.
Sous le coup d'une enquête depuis décembre 2018, WhatsApp savait que ce moment arriverait. Ce jeudi 2 septembre, le service de messagerie du géant Facebook s'est vu infliger une amende pas loin du quart du milliard d'euros – 225 millions d'euros plus précisément. La Data Protection Commission irlandaise (la Commission de protection des données, équivalente de notre CNIL) estime que WhatsApp n'a pas rempli ses obligations de transparence en matière d'informations aux utilisateurs et utilisatrices. Basée en Irlande, comme le siège social européen de Facebook, l'autorité frappe fort.
Pour la CNIL irlandaise, WhatsApp ne se conforme pas pleinement au RGPD
Dans le détail, qu'est-ce que la Data Protection Commission reproche à WhatsApp ? Pour l'autorité, tout a commencé fin 2018. À cette époque, elle a d'abord commencé par examiner les pratiques et politiques de la messagerie instantanée, pour vérifier si celle-ci remplissait bien ses obligations de transparence vis-à-vis du RGPD. Lorsque nous parlons de transparence, il faut comprendre les informations données aux utilisateurs et utilisatrices actifs et aux utilisateurs et utilisatrices potentiels de WhatsApp. C'est-à-dire toute la partie traitement des informations opéré par la messagerie et sa maison-mère, Facebook avec entre autres des visées publicitaires théoriques.
Au terme de son enquête, la CNIL irlandaise maintient ses craintes de départ : pour elle, WhatsApp enfreint le RGPD avec sa politique de confidentialité. Les derniers changements opérés par la plateforme en matière de confidentialité (plus l'obligation, un temps, de pousser l'utilisateur ou utilisatrice à effectuer une mise à jour sous peine de ne plus pouvoir utiliser l'application) n'ont évidemment pas joué en faveur de la firme américaine.
Mais WhatsApp se défend et affirme s'engager « à fournir un service sécurisé et privé (…) Nous avons travaillé pour nous assurer que les informations que nous fournissons sont transparentes et complètes et continuerons de le faire. Nous ne sommes pas d'accord avec la décision d'aujourd'hui concernant la transparence que nous avons fournie aux gens en 2018 et les sanctions sont tout à fait disproportionnées », poursuit la société.
WhatsApp prévoit déjà de faire appel de la décision
Chargée de veiller à ce que les grandes entreprises numériques respectent bien le Règlement général sur la protection des données (RGPD) en Europe, la Commission irlandaise a tout simplement infligé la plus grosse amende de son histoire à un acteur numérique.
Et même si l'on reste encore loin des sanctions records de la Commission européenne (4,34 milliards d'euros en 2018 pour Google, sanction d'ailleurs contestée par le géant américain encore aujourd'hui), il s'agit aussi de la deuxième amende la plus importante jamais infligée par un régulateur numérique de l'Union européenne. Ce record était jusque-là détenu par le Luxembourg, qui a sanctionné Amazon à hauteur de 746 millions d'euros en juillet dernier.
Sans surprise, WhatsApp a fait part de sa déception à l'issue de la décision. L'entreprise n'est ni d'accord avec cette dernière, ni avec le montant de l'amende, dont elle ne comprend pas la gravité. Elle prévoit évidemment de faire appel.
Source : Data Protection Commission