Binding deci­sion 1/​2021 on the dispute arisen on the draft deci­sion of the Irish Supervisory Authority regar­ding WhatsApp Ireland under Article 65(1)(a) GDPR adop­ter on 28 July 2021

L’Autorité de protec­tion des données irlan­daise (DPC) avait commu­ni­qué son projet de déci­sion aux auto­ri­tés de contrôle euro­péennes concer­nées par les trai­te­ments trans­fron­ta­liers de données person­nelles effec­tués par WhatApp Irlande (WhatsApp IE), comme le prévoit l’art. 60 par. 3 RGPD. Les autres auto­ri­tés de contrôle ayant formulé des objec­tions à l’égard du projet de déci­sion, l’affaire a été portée devant le Comité euro­péen de la protec­tion des données (EDPB) confor­mé­ment à l’art. 65 RGPD pour que ce dernier règle le litige. Bien que la DPC ait rendu sa déci­sion finale le 20 août 2021, le présent commen­taire s’attardera sur la déci­sion contrai­gnante rendue par l’EDPB, que l’Autorité irlan­daise a dû appli­quer et inté­grer dans sa déci­sion finale.

Les objec­tions (art. 4 ch. 24 RGPD ; art. 65 par. 1 let. a RGPD) formu­lées par les auto­ri­tés de contrôle quant au projet de déci­sion que la DPC leur avait commu­ni­qué fin 2020 selon l’art. 60 par. 3 RGPD visaient prin­ci­pa­le­ment à :

• la consta­ta­tion de la viola­tion de l’ 13 par. 1 let. d RGPD, à savoir de l’information de la personne concer­née sur les inté­rêts légi­times pour­sui­vis par le respon­sable du trai­te­ment ou par le tiers lorsque le trai­te­ment est néces­saire à la pour­suite de ces inté­rêts (art. 6 par. 1 let. f RGPD) ;
• la consta­ta­tion de la viola­tion de l’ 13 par. 2 let. e RGPD, soit de l’obligation d’informer les personnes concer­nées sur la ques­tion de savoir si l’exigence de la four­ni­ture de données person­nelles est règle­men­taire ou contrac­tuelle, si elle condi­tionne la conclu­sion d’un contrat, si la personne concer­née est tenue de procé­der à cette four­ni­ture et quelles sont les consé­quences en cas de refus de four­nir les données ;
• la consta­ta­tion de la viola­tion du prin­cipe de trans­pa­rence (5 par. 1 RGPD) ;
• la quali­fi­ca­tion des données person­nelles concer­nant les données de non-utili­sa­teurs de l’application trai­tés par l’entreprise ;
• l’amende propo­sée par l’autorité chef de file.

Dans sa déci­sion, l’EDPB a estimé que certaines objec­tions n’étaient pas suffi­sam­ment moti­vées ou qu’elles ne justi­fiaient pas de modi­fi­ca­tions du projet de déci­sion de la DPC (art. 4 par. 24 RGPD). Néanmoins, d’autres objec­tions ont donné lieu à plusieurs recti­fi­ca­tions du projet de déci­sion irlandais.

Premièrement, l’EDPB a consi­déré qu’une viola­tion de l’art. 13 par. 1 let. d RGPD avait été commise par WhatsApp IE. Il a estimé, contrai­re­ment à l’avis de la DPC, que l’information four­nie par l’entreprise ne rensei­gnait pas suffi­sam­ment les personnes concer­nées sur les trai­te­ments effec­tués sur la base des inté­rêts légi­times de WhatApp IE ou de tiers. En effet, des formu­la­tions telles que « other busi­ness services » ou encore « shares infor­ma­tion with the Facebook Companies to promote safety and secu­rity » ne four­nissent pas suffi­sam­ment d’informations aux personnes concer­nées pour leur permettre d’exercer correc­te­ment leurs droits à propos des trai­te­ments spécifiques.

Deuxièmement, l’EDPB s’est basé sur l’art. 4 par. 1 RGPD et sur le consi­dé­rant 26 RGPD pour consi­dé­rer que les données des personnes ne possé­dant pas de compte WhatsApp, passant par une « lossy hashing proce­dure », devaient être quali­fiées de données person­nelles. Malgré les argu­ments avan­cés par WhatsApp IE, l’EDPB a estimé que, dans la mesure où ce proces­sus pouvait comp­ter moins de 16 numé­ros de télé­phone par « pool », il était possible de rendre les personnes concer­nées iden­ti­fiables sans efforts dispro­por­tion­nés après le proces­sus, surtout compte tenu des ressources de WhatsApp IE et des tiers. Partant, les données des personnes ne possé­dant pas de compte WhatsApp revê­ti­raient pour l’EDPB un carac­tère person­nel au sens du RGPD et ne devraient pas être consi­dé­rées comme des données anonymes. Cette quali­fi­ca­tion entraîne la néces­sité pour la DPC de recon­naître une viola­tion de l’art. 14 RGPD dans le cas d’espèce.

Troisièmement, l’EDPB a requis de la DPC la consta­ta­tion de la viola­tion du prin­cipe de trans­pa­rence (art. 5 par. 1 let. a RGPD) en plus des viola­tions des autres obli­ga­tions, dans la mesure où des viola­tions tant du prin­cipe de la trans­pa­rence que des obli­ga­tions en décou­lant peuvent être commises dans un même cas de figure, comme en l’espèce, au vu de la gravité et de l’impact des infrac­tions du cas d’espèce.

Quatrièmement, l’EDPB a requis de la DPC qu’elle utilise ses pouvoirs correc­tifs en consta­tant une infrac­tion concer­nant l’art. 13 par. 2 let. e RGPD et en pronon­çant l’une des mesures de l’art. 58 par. 2 RGPD au lieu de se limi­ter à émettre une simple recom­man­da­tion. En effet, si la DPC se limi­tait à émettre une recom­man­da­tion, les droits des personnes concer­nées ne seraient pas plei­ne­ment assu­rés car elles ne pour­raient pas être conscientes du trai­te­ment de leurs données. En outre, WhatsApp IE pour­rait s’éloigner de ladite recommandation.

En dernier lieu, la fixa­tion de l’amende a été revue par l’EDPB. Il a d’abord estimé que, lorsqu’il en va de l’interprétation de l’art. 83 par. 3 RGPD et en cas de multiples viola­tions entraî­nées par des trai­te­ments liés, le contre­ve­nant devait être reconnu coupable d’avoir violé plusieurs dispo­si­tions et que l’amende devait, pour être effec­tive, dissua­sive et propor­tion­nelle, être fixée dans le respect du maxi­mum prévu de manière abstraite pour l’infraction la plus grave et non de manière concrète.

Ensuite, le chiffre d’affaires pris en consi­dé­ra­tion n’importe pas unique­ment dans la fixa­tion anti­ci­pée du montant maxi­mum de l’amende, mais consiste aussi en un élément à prendre en consi­dé­ra­tion dans la fixa­tion du montant concret de l’amende, pour qu’elle réponde aux buts qui lui sont assi­gnés (art. 83 par. 1 RGPD). Bien que l’art. 83 par. 1 ou 2 RGPD ne prévoie pas expres­sé­ment la prise en compte du chiffre d’affaires, la formu­la­tion de la loi ne semble pas se limi­ter aux autres éléments prévus expres­sé­ment par la disposition.

Finalement, lorsqu’une société mère et sa filiale forment une unité écono­mique au sens des art. 101 s. TFUE, le chiffre d’affaires à consi­dé­rer corres­pond au montant total ou conso­lidé des socié­tés formant l’unité écono­mique (G29, Lignes direc­trices sur la fixa­tion des amendes admi­nis­tra­tives, p. 6) portant sur l’année précé­dant la déci­sion finale.

Au vu de ce qui précède, l’EDPB a conclu que la DPC devait consta­ter plusieurs viola­tions supplé­men­taires, augmen­ter par consé­quent le montant de l’amende infli­gée à WhatsApp IE et lui accor­der un délai de trois mois et non de six pour se mettre en conformité.

En droit suisse, la LPD ne prévoit pas, dans sa teneur actuelle, de sanc­tion pour la viola­tion du prin­cipe de trans­pa­rence ou de recon­nais­sa­bi­lité par un respon­sable du trai­te­ment privé (art. 4 al. 4 LPD), à moins qu’il traite des données sensibles ou profils de la person­na­lité (art. 14 et 34 al. 1 LPD). Selon la nLPD, le devoir d’information est étendu (art. 19 nLPD ; FF 2020 7405) et sa viola­tion est suscep­tible d’entraîner une sanc­tion pénale (art. 60 al. 1 nLPD ; FF 2020 7423). Néanmoins, le droit suisse va moins loin que le droit euro­péen, surtout concer­nant l’effet dissua­sif atta­ché aux sanc­tions qui sera, selon nous, toujours moins garanti en droit suisse que d’après le RGPD.

De retour en Irlande, WhatsApp IE a annoncé faire appel contre la déci­sion. Affaire à suivre…