par Un autre projet de loi a été déposé par Meta pour non-respect du règlement général sur la protection des données (RGPD) de l’Union européenne – mais celui-ci est un tiddler ! La plate-forme de messagerie appartenant à Meta, WhatsApp, a été condamnée à une amende de 5,5 millions d’euros (un peu moins de 6 millions de dollars) par le principal régulateur de la protection des données du géant de la technologie dans la région pour ne pas avoir de base légale pour certains types de traitement de données personnelles.
En décembre, le régulateur en chef de Meta, la Commission irlandaise de protection des données (DPC), a reçu l’ordre de rendre une décision finale sur cette plainte (qui remonte à mai 2018) – via une décision contraignante du Comité européen de la protection des données (EDPB) – ainsi que deux autres plaintes, contre Facebook et Instagram.
Ces deux décisions finales ont émergé du DPC plus tôt ce mois-ci, lorsqu’il a annoncé un total de 310 millions d’euros de pénalités ; et a donné à Meta trois mois pour trouver une base juridique valable pour le traitement de ces annonces. Mais alors que la dernière paire de décisions GDPR s’est attaquée au manque de base juridique valide de Meta pour le traitement des données des utilisateurs afin de diffuser de la publicité comportementale (c’est-à-dire son modèle commercial principal), avec la décision WhatsApp, l’Irlande semble avoir entièrement contourné le problème de la légalité du traitement des publicités – depuis son enquête s’est concentrée sur la base juridique revendiquée par Meta pour les « améliorations de service » et la « sécurité ».
Ici, Meta avait (de la même manière) cherché à s’appuyer sur une allégation de nécessité contractuelle – mais l’Irlande a maintenant découvert (via une ordonnance de l’EDPB) qu’elle ne le pouvait pas.
La DPC a donné six mois à WhatsApp pour s’amender à ces fins de traitement de données. Cela signifie qu’il devra trouver un moyen de traiter légalement les données (peut-être en demandant aux utilisateurs s’ils consentent à ces fins et en ne traitant pas leurs données s’ils ne le font pas).
Mais le régulateur a simplement refusé d’agir sur une instruction parallèle de l’EDPB demandant au DPC d’enquêter pour savoir si WhatsApp traite les (méta)données des utilisateurs pour les publicités. Et cela a conduit à de nouveaux cris, de la part du plaignant initial, d’un énième coup monté par le régulateur irlandais très critiqué.
Dans un communiqué de presse, noyb, le droit à la vie privée à but non lucratif à l’origine des plaintes stratégiques d’origine ne fait pas de mal – arguant que l’Irlande fait essentiellement un doigt d’honneur à l’EDPB à ce stade.
“Nous sommes étonnés de voir comment la DPC ignore simplement le cœur de l’affaire après une procédure de 4,5 ans. Le DPC ignore également clairement la décision contraignante du comité européen de la protection des données. Il semble que le DPC coupe enfin tous les liens avec les autorités partenaires de l’UE et avec les exigences de la législation européenne et irlandaise », a déclaré son président honoraire, Max Schrems, dans une déclaration typiquement concise et percutante.
Alors que le contenu de la messagerie sur WhatsApp est crypté de bout en bout – ce qui signifie, en supposant que vous faites confiance à la mise en œuvre du protocole Signal par Meta, que ces informations doivent être protégées de ses regards indiscrets – le géant des médias sociaux peut toujours glaner des informations sur les utilisateurs en suivant leur Métadonnées WhatsApp (alias, qui parle à qui, à quelle fréquence, etc.) – et également en connectant le point et les utilisateurs aux comptes et à l’activité numérique publique (ou autrement non-E2EE) à travers d’autres services qu’il possède (et, potentiellement, des services tiers c’est ensemencé de technologies de suivi)… Donc, fondamentalement, le réseau de collecte de données de Meta est long (et large).
Cela signifie qu’il y a certainement des questions à se poser sur la manière dont il pourrait traiter les données des utilisateurs de WhatsApp à des fins de marketing – et sur quelle base juridique il s’appuie pour un tel traitement.
Les utilisateurs de WhatsApp se souviennent peut-être de la controverse majeure qui a débuté en 2021 – lorsque la plate-forme a annoncé une mise à jour de ses conditions générales qu’elle a déclaré que les utilisateurs devaient accepter pour continuer à utiliser le service. On ne savait pas exactement ce qui changeait dans les conditions mises à jour. Mais, quoi qu’il se passe, Meta ne laissait certainement pas aux utilisateurs de WhatsApp le libre choix en la matière ! Et tandis que l’attention réglementaire sur cette question a conduit à ce qui semblait être un peu une descente de Meta, qui a cessé d’envoyer des pop-ups agressifs demandant aux utilisateurs de l’UE d’accepter (ou de partir), tout l’épisode a conduit à une confusion généralisée sur ce qu’il faisait exactement. avec les données utilisateur de WhatsApp (et comment il le faisait, légalement parlant).
L’épisode a également suscité des plaintes en matière de protection des consommateurs. Ce qui a conduit, l’été dernier, la Commission européenne à donner à l’entreprise un mois pour corriger les conditions générales déroutantes et “informer clairement” les consommateurs sur son modèle commercial.
Aucune de la confusion et de la méfiance autour des T&C de WhatsApp n’a été aidée par un demi-tour beaucoup plus tôt sur la synchronisation des données des utilisateurs avec Facebook – lorsque la plate-forme a renversé l’engagement du fondateur de ne jamais traverser ces flux. En bref, c’est un gâchis – et un gâchis que les régulateurs européens ne peuvent pas prétendre avoir nettoyé.
Pourtant, malgré toute la confusion persistante et les problèmes de confidentialité, le DPC semble spectaculairement indifférent à examiner de manière appropriée la manière dont WhatsApp peut traiter les données des utilisateurs pour les publicités.
“Le DPC a maintenant limité la procédure de 4,5 ans aux problèmes mineurs de la base juridique de l’utilisation des données à des fins de sécurité et d’amélioration du service”, écrit le noyb, accusant le régulateur d’ignorer essentiellement cet élément majeur de sa plainte. “Le DPC ignore ainsi les principaux problèmes de partage des données WhatsApp avec les autres sociétés de Meta (Facebook et Instagram) à des fins publicitaires ainsi qu’à d’autres fins.”
Le communiqué de presse du DPC annonçant sa décision finale évite presque entièrement de faire mention de la publicité comportementale – jusqu’à la finale, lorsque l’expression apparaît. Mais seulement parce qu’il cite l’instruction du CEPD — de mener une nouvelle enquête sur “WhatsApp IE’s [Ireland’s] opérations de traitement à son service afin de déterminer s’il traite des catégories particulières de données personnelles (article 9 GDPR), traite des données à des fins de publicité comportementale, à des fins de marketing, ainsi que pour la fourniture de métriques à des tiers et l’échange de données avec des sociétés affiliées à des fins d’amélioration du service, et afin de déterminer s’il est conforme aux obligations pertinentes en vertu du RGPD.
L’opportunité était donc là pour l’Irlande de saisir l’ortie au nom des utilisateurs de WhatsApp et de suivre les flux de données pour brosser un tableau clair de ce que la propriété de Meta de la plate-forme de messagerie E2EE signifie vraiment pour la vie privée des utilisateurs. (Et, rappelez-vous, l’empire de ciblage publicitaire comportemental de Meta n’a actuellement pas de base légale pour le traitement des publicités sur Facebook et Instagram dans l’UE.)
Mais au lieu de continuer à enquêter sur le traitement des données par WhatsApp, le régulateur irlandais a choisi de charger ses avocats de contester la décision contraignante du CEPD et de chercher à la faire annuler devant les tribunaux.
Mettre à jour: Meta a maintenant répondu à la décision du DPC en nous envoyant cette déclaration, attribuée à un porte-parole de WhatsApp, dans laquelle il confirme qu’il fera appel :
Whatsapp a dirigé l’industrie de la messagerie privée en fournissant un cryptage de bout en bout et des couches de confidentialité qui protègent les personnes. Nous croyons fermement que le fonctionnement du service est à la fois techniquement et juridiquement conforme. Nous nous appuyons sur la nécessité contractuelle à des fins d’amélioration du service et de sécurité, car nous pensons qu’aider à assurer la sécurité des personnes et proposer un produit innovant est une responsabilité fondamentale dans l’exploitation de notre service. Nous ne sommes pas d’accord avec la décision et nous avons l’intention de faire appel.
