L’Irlande a beau être une terre d’accueil (fiscale) pour les sociétés IT américaines, elle se révèle être une zone très sensible sur l’application du RGPD. Meta vient d’en faire à nouveau l’expérience avec une sanction de 5,5 millions d’euros infligée par le DPC Irlandais. C’est la seconde amende en moins d’un mois pour le réseau social. Le 4 janvier dernier, la même commission avait prononcé une amende record de 390 millions d’euros sur la politique de traitement des données personnelles de Facebook et Instagram.

En l’espèce, c’est la politique de WhatsApp qui est épinglée après une plainte déposée le 25 mai 2018 (date d’entrée en vigueur du RGPD) par un utilisateur allemand. Après cette date, le service de messagerie instantanée avait mis à jour ses CGU et informait ses utilisateurs qu’ils devaient cliquer sur « accepter et continuer » pour indiquer leur consentement. En cas de non réponse, ils n’avaient plus accès au service. Comme dans la décision du 4 janvier, WhatsApp considère que sa politique de traitement des données est à étudier au regard d’un « contrat » au titre du RGPD (art 6.1) passé entre la société et l’abonné.

L’EDPB en rajoute une couche

La Cnil irlandaise a enquêté et a préparé un projet de décision, soumis aux régulateurs européens, parties prenantes dans cette affaire. Il proposait de ne pas prononcer de sanctions financières supplémentaires. WhatsApp a déjà été condamné pour des faits similaires en septembre 2021 pour un montant de 225 M€. Par contre le CPD plaidait pour la reconnaissance de caractère contractuel et donc légal de la politique de traitement des données personnelles de WhatsApp. Une position qui a provoqué une levée de bouclier des autres Cnil.

Pour trancher, le CPD a saisi l’EDPB (Comité européen de la protection des données). Ce dernier a écarté la base juridique du contrat, mais a ajouté une violation supplémentaire à l’obligation de transparence. En conséquence, la Cnil irlandaise ajoute 5,5 millions d’euros d’amende à Meta (maison-mère de WhatsApp).