CONTACT

Actualité européenne : Panorama de quelques décisions rendues par des autorités nationales de contrôle

27 septembre 2021 | Derriennic Associés|

WhatsApp : sanction de 225 millions d’euros pour non-respect du principe de transparence

DPC (Irlande), 20 août 2021

Le 10 décembre 2018, l’autorité de contrôle irlandaise a ouvert une enquête pour déterminer si WhatsApp se conformait à ses obligations en termes de protection des données personnelles.

Se concentrant principalement sur le respect par WhatsApp de ses obligations de transparence, l’autorité de contrôle a constaté que les utilisateurs de la plateforme et les non-utilisateurs (personnes n’ayant pas téléchargé l’application) ne recevaient pas les informations nécessaires sur la façon dont leurs données sont traitées, en violation des articles 12.1, 13 et 14 du RGPD.

1.La fourniture d’informations insuffisantes aux utilisateurs de l’application

L’autorité de contrôle a constaté :

  • que les finalités et la base juridique du traitement, informations minimales permettant de rendre effectif les droits des personnes, n’étaient pas fournies (art 13.1 c) ;
  • que les intérêts légitimes poursuivis n’étaient pas non plus mentionnés (art 13.1 d ;
  • que les destinataires des données personnelles étaient dispersés dans différents documents, ne permettant pas de comprendre quelles catégories de données personnelles étaient envoyées à quels destinataires (art 13.1 e) ;
  • que l’existence d’un transfert de données à caractère personnel vers un pays tiers n’était pas assez précisément défini, notamment en n’informant pas si les transferts s’effectuaient vers un « pays adéquat » (art 13.1 f).

L’autorité de contrôle a également constaté que les informations complémentaires de l’article 13.2 n’étaient pas non plus fournies dès lors que : les critères et la période de conservation des données n’étaient pas précisés (art 13.2 a), qu’il n’était fait qu’une référence lacunaire au droit de retirer son consentement (art 13.2 c) et qu’il n’était pas précisé si l’exigence de fourniture de données personnelles avait un caractère réglementaire, contractuel ou si elle conditionnait la conclusion d’un contrat (art 13.2 e).

 2.L’absence de fourniture d’information aux non-utilisateurs de l’application

L’autorité de contrôle a constaté que les non-utilisateurs ne recevaient pas non plus les informations nécessaires conformément à l’article 14 du RGPD.

Effectivement, WhatsApp traite des numéros de téléphone de personnes ne possédant pas l’application.

Pour sa défense, WhatsApp a estimé que l’information se faisait indirectement, par l’intermédiaire des utilisateurs qui, en signant la politique de confidentialité, donnaient l’autorisation à WhatsApp de traiter les données de l’intégralité de leur liste de contacts.

L’autorité de contrôle a jugé cette mesure inappropriée, et estimé qu’il était nécessaire d’ajouter :

  • une section distincte dans la politique de confidentialité relative au traitement des données des non-utilisateurs ;
  • une information publique, présente sur le site, facilement accessible et distincte des informations à destination des utilisateurs.

Au final, l’autorité de contrôle a suivi la décision contraignante du Comité Européen de la Protection des Données (CEPD) en estimant que ces manquements engendrent de facto une violation du principe de transparence posé à l’article 5.1 a.

De même, l’autorité irlandaise, qui avait initialement préconisé une amende de 50 millions d’euros a également suivi la décision du CEPD en prononçant : (i) une amende de 225 millions d’euros, (ii) assorti d’un rappel à l’ordre (art 58.2 b) (iii) ainsi que d’un ordre de se mettre en conformité dans un délai de 3 mois (art 58.2 d).

Lien vers la décision en anglais : https://bit.ly/3C7HcFw

 

 Le réseau social TikTok sanctionné pour avoir fourni à ses utilisateurs mineurs néerlandais une politique de confidentialité en version anglaise uniquement

AP (Pays-Bas), 9 avril 2021

L’autorité de contrôle néerlandaise a lancé en 2020 une enquête à l’encontre du réseau social TikTok. Elle a constaté à cette occasion que la politique de confidentialité de la plateforme, pourtant à destination de mineurs néerlandais, était uniquement rédigée en anglais.

En conséquence, l’autorité de contrôle a prononcé une sanction de 750 000 euros à l’encontre de la plateforme pour manquement à l’obligation de transparence instaurée à l’article 12 du RGPD.

Lien vers la décision en néerlandais : https://bit.ly/3xytbxO

 

L’aéroport de Bologne sanctionné pour n’avoir pas mis en œuvre les mesures techniques et organisationnelles adéquates sur son application de lanceur d’alerte

GPDP (Italie), 10 juin 2021

L’aéroport de Bologne a mis à disposition de ses employés l’application « WB Confidential », application SaaS de lanceur d’alerte permettant de recueillir les signalements de comportements illégaux et ainsi mettre en œuvre une politique d’alerte conforme à la réglementation italienne.

Lors de l’implémentation de ce logiciel, l’aéroport de Bologne a cependant estimé :

  • qu’une analyse d’impact n’était pas nécessaire en raison du nombre limité de rapports et de données traitées, et ;
  • que le cryptage des données n’était pas nécessaire dès lors que la plateforme était peu utilisée et que subsistait une probabilité extrêmement faible de menace.

L’autorité de contrôle italienne a estimé, à l’inverse, que :

  • l’absence d’utilisation du protocole HTTPS (et donc l’absence de chiffrement) ne respectait, compte tenu des données échangées et des risques élevés découlant de leur éventuelle acquisition par des tiers, ni l’exigence d’intégrité et de confidentialité des données, ni la nécessité de protéger les données dès la conception (privacy by design) ;
  • en raison de la sensibilité particulière des informations traitées, des risques élevés de représailles ou de discrimination et compte tenu de la vulnérabilité des personnes concernées, une telle application était susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, et nécessitait donc une analyse d’impact.

En conséquence, l’autorité de contrôle italienne a prononcé une sanction de 40 000 euros à l’encontre de l’aéroport pour (i) non-respect des principes d’intégrité et de confidentialité, (ii) non-respect du « privacy by design », (iii) traitement non sécurisé et (iv) absence d’analyse d’impact.

Lien vers la décision en italien : https://bit.ly/3zWUfJp

 

La chaîne de supermarchés Mercadona sanctionnée pour avoir utilisé un système de reconnaissance faciale

AEPD (Espagne) 26 juillet 2021

Mercadona utilisait un système de vidéosurveillance couplé à de la reconnaissance faciale pour empêcher l’accès dans ses locaux à des personnes condamnées (entre autres) pour vol. Mercadona invoquait comme base légale l’intérêt public et la nécessité d’assurer la sécurité des personnes, des biens et des locaux. Elle s’est en outre appuyée sur l’article 9.2 du RGPD autorisant, sous certaines conditions, le traitement de « catégories particulières » de données (ici des données biométriques).

L’autorité de contrôle espagnole a estimé que le traitement de données basé sur la reconnaissance faciale à des fins d’identification était interdit en application de l’article 9.1 du RGPD, sans que les exceptions du paragraphe 2 soient applicables, rendant le traitement dépourvu de base légale (art 6.1 RGPD).

L’autorité, constatant que ce système aboutissait à une surveillance aveugle et massive, a ainsi infligé une amende de 2 520 000 € pour : (i) absence de base légale, (ii) interdiction d’un traitement de données biométriques, (iii) absence de transparence des informations, (iv) non-respect du principe de minimisation des données et de nécessité, (v) absence de protection des données dès la conception et (vi) absence d’analyse d’impact.

Lien vers la décision en espagnol : https://bit.ly/3jT3WCO