WhatsApp se voit infliger une amende de 5,5 millions d'euros
WhatsApp Irlande a été condamnée à une amende de 5,5 millions d'euros pour usage abusif de ses petits caractères et a reçu l'ordre de modifier ses méthodes de traitement des données dans un délai de six mois pour avoir enfreint la législation européenne sur la confidentialité des données.
Cette décision a été faite à la suite d’une plainte déposée en mai 2018 par un utilisateur allemand.
WhatsApp avait mis à jour ses conditions générales d’utilisation et avait demandé à ses utilisateurs de « lire et approuver » les nouvelles conditions (suite à l’application du Règlement général sur la protection des données). Toutefois, les conditions générales d’utilisation actualisée (le contrat) n'ont pas été mises à la disposition des utilisateurs qui ont refusé de les accepter. WhatsApp a déclaré que le traitement des données des utilisateurs était nécessaire à l'exécution du contrat entre WhatsApp et ses utilisateurs afin d'apporter des améliorations au service et d'ajouter des fonctions de sécurité.
L'utilisateur allemand a fait valoir que WhatsApp utilisait des données à caractère personnel sans aucune base juridique valable.
Plus précisément, la société s'appuyait sur un « consentement forcé », ce qui constitue une violation de l'Article 6, paragraphe 1, du Règlement général sur la protection des données (RGPD), et a rejeté les affirmations selon lesquelles les « améliorations de service » et les « fonctionnalités de sécurité » constituaient des motifs légitimes.
L'utilisateur allemand a affirmé que le fait d'obliger les intéressés à accepter que leurs données à caractère personnel soient utilisées de manière inutile, sans leur donner la possibilité de s’y opposer, n'est pas légal.
La question du consentement forcé n'était pas clairement définie dans cette affaire et, étant donné que la Commission pour la protection des données (DPC) et les autorités de contrôle concernées n'ont pas pu s’accorder sur la question de savoir si les conditions d'utilisation de WhatsApp constituaient une base légale valide pour le traitement des données à caractère personnel, l'affaire a été renvoyée au Conseil européen de la protection des données (CEPD).
Le CEPD s'est référé aux lignes directrices du RGPD qui stipulent qu'il doit être « objectivement nécessaire » de respecter les engagements pris dans les conditions générales d’utilisation (le contrat) afin de s'appuyer sur le contrat comme base juridique pour utiliser les données à caractère personnel. WhatsApp ne peut utiliser les données personnelles que pour les fonctionnalités de base de l'application.
Si WhatsApp collectait les données à des fins commerciales, alors le fait de s'appuyer sur les conditions générales d’utilisation ne suffit pas à répondre aux exigences du RGPD. Il est de ce fait nécessaire de recourir à une autre base juridique parmi les six options énumérées à l'Article 6 du RGPD.
Principaux points à retenir
WhatsApp était la troisième application la plus téléchargée au monde en 2022. Cette décision envoie un message clair à l'industrie technologique au sens large, plus précisément aux entreprises qui offrent des services en ligne et aux entreprises du secteur de la publicité qui s'appuient sur les données collectées par les applications à des fins de publicité ciblée. Mais les titans ne sont pas les seuls à se voir infliger des amendes. Le nombre total d'amendes liées au RGPD à ce jour s'élève à 1295, dont certaines ne dépassent pas 28 euros.
La plupart des entreprises ont tendance à collecter ou à utiliser plus de données à caractère personnel que nécessaire afin d’exécuter leurs engagements contractuels. Il s'agit souvent d'informations telles que le sexe, l'âge, les opinions, les préférences, ou tout ce qui permet de profiler les utilisateurs pour mieux cibler la publicité. Cela ne peut pas être considéré comme « nécessaire » au sens du RGPD si vous êtes en mesure de remplir vos engagements contractuels sans le faire.
« Si votre entreprise traite des données à caractère personnel, vérifiez dans vos conditions générales d’utilisation les cas où une personne doit accepter que ses données soient collectées. Si vous n'avez pas besoin d'utiliser ces données pour fournir vos services « essentiels », vérifiez si vos conditions sont légales au regard de l'Article 6.
Par exemple, si vous avez besoin des adresses de vos clients pour leur envoyer une commande en ligne, l'envoi d'informations commerciales de la part de tiers affiliés ne peut pas se faire sous prétexte que cela est inscrit dans vos conditions générales lorsqu'ils passent leur commande en ligne. Il n'est pas possible de dire que l'envoi des adresses à des tiers est « nécessaire » à la livraison de la commande. Le seul fait de l'avoir écrit en petits caractères peut être considéré comme invalide et comme un « consentement forcé », surtout si la personne a l'impression de n'avoir pas d'autre choix que d'accepter. »
— Charlotte Gerrish du cabinet Gerrish Legal
Comment Gerrish Legal peut-il vous aider ?
Gerrish Legal est un cabinet juridique numérique dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle. Nous donnons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.
Nous sommes là pour vous aider, contactez-nous dès aujourd'hui pour plus d'informations.
Article de Nathalie Pouderoux, Paralegal / Consultante pour Gerrish Legal