WhatsApp risque une amende de 5,5 millions d'euros, car le DPC limite la portée de l'affaire contre WhatsApp et rejette la demande de l'EDPB d'enquêter sur des questions telles que le partage des données au sein de Meta.
Comme confirmé par le DPC irlandais aujourd'hui, le Conseil européen de la protection des données (EDPB) a décidé que Meta ne peut pas forcer les utilisateurs de WhatsApp à accepter l'utilisation de leurs données pour "l'amélioration des services" et la "sécurité". La question centrale de l'utilisation des données pour "l'utilisation des données à des fins de publicité comportementale, à des fins de marketing, ainsi que pour la fourniture de données métriques à des tiers et l'échange de données avec des sociétés affiliées "n'ont pas été traitées par le CPD irlandais - malgré une décision contraignante de l'EDPB selon laquelle ces questions doivent être examinées. La décision intervient 4 ans et demi après les plaintes initiales déposées par noyb, sur le contournement par Meta du GDPR via une clause dans les termes et conditions.
- Vidéo explicative sur le contournement de Meta (à partir de décembre 2022)
- Blogpost sur les décisions prises sur Facebook et Instagram
- Plaintes originales de noyb datant de 2018
- Décision finale du CPD (PDF)
Faits marquants :
- Le 25 mai 2018, noyb a déposé trois plaintes contre Facebook, Instagram et WhatsApp sur la base du consentement forcé.
- Deux plaintes déposées contre Facebook et Instragram au nom d'un utilisateur autrichien et d'un utilisateur belge ont fait l'objet d'une décision au cours de la première semaine de janvier, conduisant à une amende combinée de 390 millions d'euros.
- La troisième décision concernant WhatsApp au nom d'un utilisateur allemand a été publiée aujourd'hui.
- Meta a tenté de "contourner" l'obligation de consentement prévue par le GDPR en ajoutant une clause aux conditions générales de la publicité.
- En décembre 2022, l'EDPB a annulé un projet de décision précédent du DPC irlandais qui considérait que le contournement du GDPR par Meta était légal et l'EDPB a demandé des changements dans la décision sur WhatsApp, ainsi que des enquêtes supplémentaires sur les violations fondamentales de WhatsApp.
- Le CPD a maintenant adapté sa décision limitée, mais refuse d'enquêter sur d'autres questions, comme l'a ordonné l'EDPB. Le DPC menace d'intenter une action en justice contre ses partenaires européens.
- La décision exige probablement que WhatsApp mette en œuvre un "opt-in" pour l'utilisation des données personnelles pour "l'amélioration du produit", tandis que l'utilisation des données personnelles pour la sécurité pourrait largement être déplacée vers une autre base juridique.
Meta voulait "contourner" le GDPR. Le GDPR prévoit six bases juridiques pour le traitement des données, dont l'une est le consentement en vertu de l'article 6, paragraphe 1, point a). Meta a tenté de contourner l'obligation de consentement pour le suivi et la publicité en ligne en faisant valoir que les publicités font partie du "service" qu'elle doit contractuellement aux utilisateurs. Le prétendu changement de base juridique s'est produit exactement le 25 mai 2018 à minuit, lorsque le GDPR est entré en vigueur. La soi-disant "nécessité contractuelle" au titre de l'article 6, paragraphe 1, point b), est généralement comprise de manière étroite et permettrait par exemple à une boutique en ligne de transmettre l'adresse à un service postal, car cela est strictement nécessaire pour livrer une commande. Meta, cependant, a estimé qu'elle pouvait ajouter des éléments aléatoires au contrat (tels que des publicités personnalisées), afin d'éviter que ses utilisateurs n'aient à choisir entre un consentement par oui ou par non.
Le DPC limite l'affaire à la "sécurité" et à "l'amélioration des services". Le CPD a maintenant limité la procédure de quatre ans et demi aux questions mineures de la base juridique de l'utilisation des données à des fins de sécurité et d'amélioration des services. Le CPD ignore ainsi les questions majeures du partage des données de WhatsApp avec les autres sociétés de Meta (Facebook et Instagram) à des fins publicitaires et autres. Alors que les utilisateurs devraient être invités à l'utilisation de leurs données pour l'amélioration des produits via un opt-in, il semble clair que l'utilisation des données pour la sécurité reste légale en vertu du GDPR, même si cela n'est plus inclus dans un contrat.
Max Schrems :"Nous sommes étonnés de voir que le CPD ignore tout simplement le cœur de l'affaire après une procédure de 4 ans et demi. Le DPC ignore aussi clairement la décision contraignante de l'EDPB. Il semble que le DPC coupe finalement tous les liens avec les autorités partenaires de l'UE et avec les exigences du droit européen et irlandais."
Les "métadonnées" de WhatsApp sont-elles encore utilisées pour des publicités personnalisées ? Bien que WhatsApp ne propose pas de publicités personnalisées, elle fournit ce qu'on appelle des "métadonnées" à Facebook et Instagram, qui sont à leur tour utilisées pour des publicités personnalisées sur les deux plateformes de médias sociaux. Ces métadonnées révèlent de nombreuses informations sur le comportement de communication des utilisateurs : qui communique avec qui et quand, qui utilise l'application quand, pendant combien de temps et à quelle fréquence. Si la communication elle-même est chiffrée, les numéros de téléphone et les comptes Facebook ou Instagram associés des personnes sont collectés. Ces informations peuvent ensuite être utilisées pour personnaliser les publicités destinées aux utilisateurs sur d'autres plateformes Meta comme Facebook et Instagram. Le CPD semble avoir refusé d'enquêter sur cette question centrale des plaintes.
Max Schrems : "WhatsApp dit qu'il est crypté, mais cela n'est vrai que pour le contenu des chats - pas pour les métadonnées. WhatsApp sait toujours avec qui vous chattez le plus et à quelle heure. Cela permet à Meta de comprendre de très près le tissu social qui vous entoure. Meta utilise ces informations pour, par exemple, cibler les publicités auxquelles vos amis étaient déjà intéressés. Il semble que le CPD ait maintenant tout simplement refusé de se prononcer sur cette question, malgré 4 ans et demi d'enquêtes."
Le DPC et Meta ont coopéré et se sont fait débouter par l'EDPB. Au cours de la procédure, Meta s'est appuyé sur dix réunions confidentielles avec le DPC irlandais, au cours desquelles le DPC a permis à Meta d'utiliser ce "contournement". Il a été révélé par la suite que le DPC a même essayé d'influencer les directives pertinentes de l'EDPB dans l'intérêt de Meta. Néanmoins, les autres APD européennes ont rejeté le point de vue du CPD en interne en 2018, dans les lignes directrices en 2019 et à nouveau dans la décision finale de l'EDPB en décembre 2022. L'affaire a pris de l'ampleur pendant 4 ans et demi, avec des centaines de pages de rapports et de soumissions, bien que l'affaire porte sur une question juridique plutôt simple.
Max Schrems :"Cette affaire porte sur une question juridique simple. Meta prétend que le 'bypass' a eu lieu avec la bénédiction du DPC. Pendant des années, le CPD a fait traîner la procédure et a insisté pour que Meta puisse contourner le GDPR, mais il a maintenant été renversé par les autres autorités de l'UE. C'estglobalement la quatrième fois de suite que le CPD irlandais a été renversé."