Au cours de sa 52ème session plénière, le CEPD a adopté sa première décision urgente contraignante en vertu de l’article 66, paragraphe 2 du RGPD, à la demande de l’autorité de contrôle de Hambourg, après que l’AS a adopté des mesures provisoires à l’égard de Facebook Ireland Ltd (Facebook IE) sur la base de l’article 66, paragraphe 1 du RGPD. L’autorité de surveillance de Hambourg a ordonné une interdiction de traitement des données utilisateur WhatsApp par Facebook IE pour leurs propres fins suite à un changement dans les conditions d’utilisation et la politique de confidentialité applicable aux utilisateurs européens de WhatsApp Ireland Ltd.
L’Autorité s’est fondée sur l’article 66 du RGPD, qui établit que, dans des circonstances exceptionnelles, lorsqu’une autorité de contrôle concernée estime qu’il est urgent d’agir pour protéger les droits et libertés des personnes concernées, adopter immédiatement des mesures provisoires destinées à produire des effets juridiques sur son propre territoire avec une période de validité déterminée qui ne dépasse pas trois mois. L’autorité de contrôle communique sans délai ces mesures et les raisons de leur adoption aux autres autorités de contrôle concernées, au conseil d’administration et à la Commission.
Le CEPD a décidé que les conditions permettant de démontrer l’existence d’une infraction et d’une urgence ne sont pas remplies. Par conséquent, le CEPD a décidé qu’aucune mesure finale ne devait être adoptée par l’IE SA contre Facebook IE en l’espèce.
Le CEPD a conclu qu’il est très probable que Facebook IE traite déjà les données d’utilisateur WhatsApp IE en tant que contrôleur (conjoint) à des fins communes de sécurité et d’intégrité de WhatsApp IE et des autres sociétés Facebook, et dans le but commun d’améliorer les produits des sociétés Facebook. En outre, il n’y avait pas assez d’informations pour établir avec certitude si Facebook IE a déjà commencé à traiter les données utilisateur WhatsApp IE comme un (joint) contrôleur à ses propres fins de communications marketing et de marketing direct, et la coopération avec les autres sociétés Facebook.
Considérant la probabilité élevée d’infractions, notamment aux fins de la sûreté, de la sécurité et de l’intégrité de WhatsApp IE et des autres sociétés Facebook, ainsi qu’aux fins de l’amélioration des produits des sociétés Facebook, le CEPD a estimé que cette question nécessitait des enquêtes plus poussées. En particulier pour vérifier si : dans la pratique, les entreprises Facebook effectuent des opérations de traitement qui impliquent la combinaison ou la comparaison des données utilisateur de WhatsApp IE avec d’autres ensembles de données traitées par d’autres entreprises Facebook dans le contexte d’autres applications ou services offerts par les entreprises Facebook, facilitée notamment par l’utilisation d’identificateurs uniques. Pour cette raison, le CEPD demande à l’IE SA de procéder, en priorité, à une enquête statutaire pour déterminer si de telles activités de traitement ont lieu ou non et, le cas échéant, si elles ont une base juridique appropriée en vertu de l’alinéa 5(1)a) et de l’article 6(1). RGPD.
SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA POLONIA – UODO