L’histoire retiendra bien évidemment le montant de la sanction. WhatsApp a été condamné par le CPD irlandais a 225 millions d’euros d’amende pour manquement à ses obligations au titre du RGPD. L’affaire a débuté en en décembre 2018 notamment sur la question de la transparence autour de l’échange de données personnelles entre WhatsApp et son propriétaire Facebook au regard de l’article 13 du RGPD. Le régulateur irlandais a rendu ses conclusions en janvier dernier dont le contenu avait été tenu secret. Elle a été transmise aux autres Cnil européennes et plusieurs l’ont contestée comme c’est le cas de la Cnil française notamment.

Face à cette fronde, le CEPD (comité européen de la protection des données) regroupant l’ensemble des régulateurs a été saisi au titre de l’article 65 du RGPD sur la résolution des litiges. On découvre ainsi à l’occasion de cette affaire que les divergences entre les régulateurs n’étaient pas uniquement juridiques, mais aussi sur le montant de la sanction. En effet, la Cnil irlandaise avait proposé une amende de 50 millions d’euros contre WhatsApp. Largement sous-évalué, selon le CEPD qui s’est fendu d’une analyse de 90 pages.

Une batterie de contestations

Le comité a étudié l’ensemble des arguments des régulateurs contestant la décision de la Cnil irlandaise et en a retenu certains. Ainsi, plusieurs autorités nationales ont considéré le montant de l’amende non dissuasif par rapport aux manquements de WhatsApp. Le CEPD rappelle dans sa décision que la notion de transparence au sein du RGPD est globale mais comprend des dispositions et des obligations spécifiques. Des obligations auxquelles WhatsApp ne s’est pas conformé et en conséquence, le comité a remonté la sanction à 225 millions d’euros.

Max Schrems, connu pour avoir attaqué le Safe Harbor et le Privacy Shield, a commenté la condamnation de WhatsApp. A travers son association, il a plusieurs cas devant le CPD irlandais. « Le CPD a également proposé une amende initiale de 50 millions d'euros et a été contraint par les autres autorités européennes de protection des données d'aller vers 225 millions d'euros. Cela montre à quel point le CPD est encore extrêmement dysfonctionnel. » De son côté, WhatsApp a annoncé qu'il allait faire appel de cette condamnation.