225 millions d'euros. Voilà le montant que la Cnil irlandaise inflige à WhatsApp pour des infractions au RGPD. L'autorité de régulation envisageait une peine plus modeste, mais ses homologues en Europe l'ont poussée à frapper fort.

Depuis des mois, l’hypothèse d’une amende record infligée en Europe à WhatsApp était dans l’air. En début d’année, des sources proches du dossier évoquaient auprès de Politico une sanction pouvant atteindre 30, voire 50 millions d’euros. Finalement, aucun de ces deux montants n’a été retenu. La messagerie a effectivement été sanctionnée, mais à une peine autrement plus sévère : 225 millions d’euros.

Le verdict est tombé le 2 septembre 2021 de la part de l’autorité de protection des données irlandaise (DPC — Data Protection Commission), l’équivalent local de la Commission nationale de l’informatique et des libertés (Cnil). C’est la DPC qui était en première ligne sur ce dossier, car c’est en Irlande que Facebook, la maison-mère de WhatsApp, pilote ses activités au sein de l’Union européenne.

Le dossier devrait maintenant entrer dans un volet judiciaire, avec l’appel de WhatsApp. // Source : Nino Barbey pour Numerama

En la matière, ce sont des infractions au Règlement général sur la protection des données (RGPD) qui sont au centre de l’affaire, qui a démarré en décembre 2018. Plus exactement, c’est un manque de transparence au sujet du partage de données entre le réseau social américain et sa messagerie instantanée — acquise en 2014 pour la somme astronomique de 22 milliards de dollars — qui est en cause.

La DPC a donc, outre l’amende particulièrement élevée, réclamé que soient mises en œuvre des « mesures correctives spécifiques » pour que les traitements informatiques entre WhatsApp et Facebook rentrent dans les clous. Par ailleurs, la DPC a aussi infligé un blâme à la messagerie instantanée — une réprobation relativement peu commune, qui se voit d’ordinaire dans des affaires disciplinaires.

Les Cnil européennes ont plaidé pour une forte amende

Ce n’est pas la seule particularité du dossier : si la sanction pécuniaire atteint 225 millions d’euros, c’est parce que les autres autorités de protection de données en Europe ont forcé la main de la DPC, celle-ci ayant envisagé au départ à une sanction moins conséquente. Fin juillet 2021, le Comité européen de la protection des données a ainsi pris une résolution contraignante en ce sens.

« Cette décision contenait une instruction claire qui demandait au DPC de réévaluer et d’augmenter son amende proposée sur la base d’un certain nombre de facteurs contenus dans la décision du Comité et, suite à cette réévaluation, le DPC a imposé une amende de 225 millions d’euros à WhatsApp », admet la Cnil irlandaise dans son communiqué.

Un développement judiciaire est néanmoins à attendre, car WhatsApp a signifié son intention de faire appel de la décision rendue par la DPC. L’application conteste sans surprise les conclusions de l’autorité de régulation, estimant proposer des informations transparentes et intelligibles pour le public, et rejette par ailleurs le montant de la peine, jugé disproportionné.

Partager sur les réseaux sociaux

La suite en vidéo