L’Autorité irlandaise de protection des données (DPC) a annoncé début septembre la conclusion d’une enquête sur l’application du Règlement UE 679/2016 (RGPD) à l’encontre de WhatsApp Ireland Ltd. L’enquête de la DPC ouverte le 10 décembre 2018 a examiné comment WhatsApp utilise les données des utilisateurs à la lumière des obligations de transparence imposées par le cadre de confidentialité.
Après une longue et complexe enquête, en décembre 2020, la DPC a présenté une proposition de décision à toutes les autorités de contrôle concernées (en anglais – CSA) conformément à l’article 60 du RGPD sur la coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées.
Comme indiqué au paragraphe 3, l’autorité de contrôle chef de file communique sans délai les informations pertinentes en la matière aux autres autorités de contrôle concernées. Elle transmet sans délai un projet de décision aux autres autorités de contrôle concernées pour avis et tient dûment compte de leur avis.
En outre, le paragraphe 4 précise que si l’une des autres autorités de contrôle concernées soulève une objection pertinente et motivée au projet de décision dans un délai de quatre semaines après avoir été consultée conformément au paragraphe 3 du présent article, l’autorité de contrôle chef de file, si elle ne donne pas suite à l’objection pertinente et motivée ou si elle estime l’objection non pertinente ou injustifiée, saisit le mécanisme de cohérence prévu à l’article 63.
L’Autorité irlandaise de protection des données (DPC), ayant reçu huit objections de la part d’autant de contrôleurs et n’étant pas parvenue à un consensus sur leur objet, a lancé le 3 juin 2021 le processus de règlement des conflits prévu à l’article 65 du RGPD, qui assure l’application correcte et cohérente du règlement, le Conseil européen pour la protection des données (CEPD) adopter une décision contraignante dans le cas visé à l’article 60, paragraphe 4, du RGPD; et cela lorsqu’une autorité de contrôle compétente a soulevé une objection pertinente et motivée à l’encontre d’un projet de décision de l’autorité principale ou de l’autorité principale, estimant cette objection non pertinente ou déraisonnable.
La décision contraignante porte sur toutes les questions soulevées dans l’objection pertinente et motivée, notamment en cas de violation du présent règlement.
Le 28 juillet 2021, le Conseil européen de la protection des données (CEPD) a adopté une décision contraignante, qui a été notifiée à la DPC irlandaise.
Cette décision contenait une instruction claire demandant à la Commission de la protection des données de réévaluer et d’augmenter sa proposition de sanction sur la base d’un certain nombre de facteurs contenus dans la décision de la CEPD et, À la suite de cette révision, la DPC a imposé une amende de 225 millions d’euros à WhatsApp.
Outre l’imposition d’une sanction administrative, la DPC a également imposé un avertissement et une injonction à WhatsApp de mettre son traitement en conformité avec les principes et règlements de confidentialité en adoptant une série de mesures correctives détaillées.
SOURCE: FEDERPRIVACY