WhatsApp fait face à une amende de 267 millions de dollars pour avoir enfreint le RGPD européen – TechCrunch


Cela fait longtemps, mais Facebook ressent enfin la chaleur du régime européen de protection des données tant vanté : la Commission irlandaise de protection des données (DPC) a Vient d’être annoncé a 225 millions d’euros (~ 267 millions de dollars) pour WhatsApp.

L’application de messagerie appartenant à Facebook fait l’objet d’une enquête par le DPC irlandais, son principal superviseur des données dans l’Union européenne, depuis décembre 2018, plusieurs mois après la les premières plaintes ont été déposées à WhatsApp sur la façon dont il traite les données des utilisateurs en vertu du règlement général européen sur la protection des données (RGPD), une fois qu’il a commencé à être appliqué en mai 2018.

Malgré la réception d’un certain nombre de plaintes spécifiques à propos de WhatsApp, l’enquête menée par le DPC qui a été décidée aujourd’hui était ce qu’on appelle une enquête « de son propre gré » – ce qui signifie que le régulateur a sélectionné les paramètres de l’enquête lui-même, choisissant de fixer un audit de WhatsApp. obligations de « transparence ».

Un principe clé du RGPD est que les entités qui traitent les données des personnes doivent être claires, ouvertes et honnêtes avec ces personnes sur la manière dont leurs informations seront utilisées.

La décision de la DPC aujourd’hui (qui s’étend sur 266 pages complètes) conclut que WhatsApp n’a pas été à la hauteur de la norme requise par le RGPD.

Son enquête a examiné si WhatsApp remplit ou non ses obligations de transparence envers les utilisateurs et les non-utilisateurs de son service (WhatsApp peut, par exemple, télécharger les numéros de téléphone de non-utilisateurs si un utilisateur accepte qu’il ingère son annuaire téléphonique qui contient les données personnelles d’autres personnes. Les données); ainsi que d’examiner la transparence offerte par la plate-forme sur son partage de données avec son entité mère Facebook (un question très controversée au moment où le revirement de la vie privée a été annoncé en 2016, bien qu’il soit antérieur à l’application du RGPD).

En résumé, le DPC a constaté une série d’infractions à la transparence par WhatsApp – couvrant les articles 5 (1) (a); 12, 13 et 14 du RGPD.

En plus d’infliger une pénalité financière importante, il a ordonné à WhatsApp de prendre un certain nombre de mesures pour améliorer le niveau de transparence qu’il offre aux utilisateurs et aux non-utilisateurs – donnant au géant de la technologie un délai de trois mois pour apporter toutes les modifications ordonnées.

Dans une déclaration répondant à la décision de la DPC, WhatsApp a contesté les conclusions et qualifié la sanction de « entièrement disproportionnée » – tout en confirmant qu’elle fera appel, en écrivant :

“WhatsApp s’est engagé ào fournir un service sécurisé et privé. Nous nous sommes efforcés de garantir que les informations que nous fournissons sont transparentes et complètes et nous continuerons de le faire. Nous ne sommes pas d’accord avec la décision d’aujourd’hui concernant la transparence que nous avons offerte aux gens en 2018 et les sanctions sont tout à fait disproportionnées. Nous allons faire appel de cette décision. »

Il convient de souligner que la portée de l’enquête DPC qui a finalement été décidée aujourd’hui se limitait à examiner uniquement les obligations de transparence de WhatsApp.

Le régulateur a été explicitement ne pas examiner des plaintes plus larges – qui ont également été soulevées contre l’empire d’exploration de données de Facebook depuis plus de trois ans – concernant la base juridique des revendications de WhatsApp pour le traitement des informations des personnes en premier lieu.

Le DPC continuera donc à faire face à des critiques à la fois sur le rythme et l’approche de son application du RGPD.

En effet, avant aujourd’hui, le régulateur irlandais n’avait rendu qu’une seule décision dans une affaire transfrontalière majeure concernant les « Big Tech » – contre Twitter lorsque, de retour en décembre, il a frappé le réseau social sur une faille de sécurité historique avec une amende de 550 000 $.

La première pénalité GDPR de WhatsApp est, en revanche, considérablement plus importante – reflétant ce que les régulateurs de l’UE (au pluriel) considèrent de toute évidence comme une infraction beaucoup plus grave au GDPR.

La transparence est un principe clé de la réglementation. Et bien qu’une faille de sécurité puisse indiquer une pratique bâclée, l’opacité systématique envers les personnes dont les données sur lesquelles votre empire adtech s’appuie pour générer un gros profit semble plutôt intentionnelle ; en fait, c’est sans doute tout le modèle d’entreprise.

Et – du moins en Europe – ces entreprises vont se retrouver obligées d’être franches sur ce qu’elles font avec les données des personnes.

Le RGPD fonctionne-t-il ?

La décision WhatsApp ravivera le débat sur l’efficacité du RGPD là où il compte le plus : contre les entreprises les plus puissantes au monde, qui sont aussi bien sûr des entreprises Internet.

En vertu du règlement phare de l’UE sur la protection des données, les décisions sur les affaires transfrontalières nécessitent l’accord de tous les régulateurs concernés – dans les 27 États membres – alors que le mécanisme de «guichet unique» du RGPD cherche à alléger la charge réglementaire pour les entreprises transfrontalières en en canalisant les plaintes et les enquêtes via un régulateur principal (généralement lorsqu’une entreprise a son principal établissement légal dans l’UE), des objections peuvent être soulevées contre les conclusions de cette autorité de surveillance principale (et toute sanction proposée), comme cela s’est produit ici dans cette affaire WhatsApp.

L’Irlande a proposé à l’origine une pénalité beaucoup plus faible pouvant aller jusqu’à 50 millions d’euros pour WhatsApp. Cependant, d’autres régulateurs de l’UE se sont opposés à son projet de décision sur plusieurs fronts – et le comité européen de la protection des données (EDPB) a finalement dû intervenir et prendre une décision contraignante (publié cet été) pour régler les différents différends.

Grâce à ce travail en commun (certes assez pénible), le DPC a été obligé d’augmenter le montant de l’amende infligée à WhatsApp. Dans un miroir de ce qui s’est passé avec son projet de décision sur Twitter – où le DPC a également suggéré une pénalité encore plus petite en première instance.

Bien qu’il y ait un temps clair pour régler les différends entre l’éventail des agences de protection des données de l’UE – le DPC a soumis son projet de décision WhatsApp aux autres DPA pour examen en décembre, il a donc fallu plus de six mois pour résoudre tous les différends. à propos du hachage avec perte de WhatsApp et ainsi de suite – le fait que des “corrections” soient apportées à ses décisions et que ses conclusions puissent aboutir – si elles ne sont pas convenues conjointement mais au moins via un consensus poussé par l’EDPB – est un signe que le processus, bien que lent et grinçant, fonctionne. Au moins techniquement.

Même ainsi, le chien de garde des données de l’Irlande continuera à faire l’objet de critiques pour son rôle démesuré dans le traitement des plaintes et des enquêtes GDPR – certains accusant le DPC de choisir essentiellement les questions à examiner en détail (par son choix et le cadrage des cas) et celles à elide entièrement (les problèmes sur lesquels il n’ouvre pas d’enquête ou les plaintes qu’il abandonne ou ignore simplement), ses critiques les plus virulentes affirmant qu’il s’agit donc toujours d’un goulot d’étranglement majeur pour l’application efficace des droits de protection des données dans l’UE.

La conclusion associée à cette critique est que les géants de la technologie comme Facebook obtiennent toujours un laissez-passer assez gratuit pour violer les règles de confidentialité de l’Europe.

Mais s’il est vrai qu’une pénalité de 267 millions de dollars équivaut à une contravention de stationnement pour l’empire commercial de Facebook, les ordonnances visant à modifier la façon dont ces géants de l’adtech sont en mesure de traiter les informations des personnes ont au moins le potentiel d’être une correction beaucoup plus importante sur les modèles commerciaux problématiques. .

Encore une fois, cependant, il faudra du temps pour déterminer si ces commandes plus larges ont l’impact recherché.

Dans une déclaration réagissant à la décision WhatsApp de la DPC aujourd’hui, noyb – le groupe de défense de la vie privée fondé par Max Schrems, militant européen de longue date pour la protection de la vie privée, a déclaré: «Nous nous félicitons de la première décision du régulateur irlandais. Cependant, la DPC reçoit environ dix mille plaintes par an depuis 2018 et il s’agit de la première amende majeure. La DPC a également proposé une première amende de 50 millions d’euros et a été contrainte par les autres autorités européennes de protection des données à passer à 225 millions d’euros, ce qui ne représente encore que 0,08 % du chiffre d’affaires du groupe Facebook. Le RGPD prévoit des amendes pouvant aller jusqu’à 4% du chiffre d’affaires. Cela montre à quel point le DPC est toujours extrêmement dysfonctionnel.

Schrems a également noté que lui et noyb avaient encore un certain nombre d’affaires en instance devant le DPC, y compris sur WhatsApp.

Dans d’autres remarques, ils ont fait part de leurs inquiétudes quant à la longueur de la procédure d’appel et à la question de savoir si le DPC ferait une défense musclée d’une sanction qu’il avait été contraint d’augmenter par d’autres DPA de l’UE.

“WhatsApp va sûrement faire appel de la décision. Dans le système judiciaire irlandais, cela signifie que des années s’écouleront avant qu’une amende ne soit effectivement payée. Dans nos cas, nous avons souvent eu le sentiment que la DPC est plus préoccupée par les gros titres que par le travail préparatoire. Il sera très intéressant de voir si le DPC défendra réellement pleinement cette décision, car il a été essentiellement contraint de prendre cette décision par ses homologues européens. Je peux imaginer que le DPC ne mettra tout simplement pas beaucoup de ressources sur l’affaire ou ne « réglera » avec WhatsApp en Irlande. Nous suivrons cette affaire de près pour nous assurer que le DPC donne réellement suite à cette décision. »





Source link