Données personnelles

Meta a été condamnée à 5,5 millions d’euros d’amende par l’autorité de contrôle des données personnelles irlandaise concernant sa messagerie WhatsApp le 19 janvier 2023, pour défaut de transparence.

WhatsApp a procédé en 2018 à une mise à jour de ses conditions générales d’utilisation, en exigeant des utilisateurs existants et nouveaux qu’ils cliquent sur la case « Accepter et continuer » pour pouvoir faire usage du service. Ce contrat conclu avec les utilisateurs intégrait des clauses sur les modalités de collecte et de traitement de leurs données personnelles, notamment pour la fourniture des services et de dispositifs d’amélioration et de sécurité.

Du point de vue de WhatsApp, traiter des données personnelles dans ce but était nécessaire à l’exécution du contrat et constituait donc la base légale du traitement.

L’autorité de contrôle irlandaise, saisie par un plaignant allemand sur cette question, n’est pas de cet avis :

• Elle considère dans un premier temps que la base légale invoquée par WhatsApp n’est pas clairement expliquée aux utilisateurs, ce qui contrevient au principe de transparence prévu dans le RGPD.
  
  

• De plus, selon la décision rendue, WhatsApp n’était pas en droit d’invoquer l’exécution du contrat comme base légale du traitement de données personnelles à des fins d’amélioration et de sécurité du service.
  
  Inclure ces clauses dans les conditions générales d’utilisation s’apparente à un « consentement forcé » car sans acceptation des CGU, les utilisateurs n’ont pas accès aux services de WhatsApp.
  
  WhatsApp aurait donc dû demander le consentement exprès, libre et éclairé des utilisateurs.

Cette condamnation est déjà la deuxième en ce début d’année 2023, Meta ayant déjà été condamnée à une amende bien plus conséquente de 390 millions d’euros pour manquement au RPPD concernant les règles de la publicité ciblée.