Le comité européen de la protection des données adopte une décision contraignante d’urgence: pas de mesures définitives de la part de l’autorité de contrôle irlandaise, mais une enquête réglementaire

15 July 2021

Bruxelles, le 15 juillet — Le comité européen de la protection des données a adopté sa première décision contraignante d’urgence conformément à l’article 66, paragraphe 2, du RGPD à la suite d’une demande de l’autorité de contrôle de Hambourg (DE-HH SA), après que celle-ci a adopté des mesures provisoires à l’encontre de Facebook Ireland Ltd (Facebook IE) sur le fondement de l’article 66, paragraphe 1, du RGPD. La DE-HH SA a ordonné l’interdiction de traiter les données des utilisateurs de WhatsApp par Facebook IE pour ses propres besoin à la suite d’une modification des conditions de service et de la politique en matière de respect de la vie privée applicables aux utilisateurs européens de WhatsApp Ireland Ltd.

Le comité européen de la protection des données a décrété que les conditions démontrant l’existence d’une infraction et d’un caractère urgent ne sont pas remplies. Il a, par conséquent, décidé qu’aucune mesure définitive ne devait être adoptée par l’autorité de contrôle irlandaise (IE SA) à l’encontre de Facebook IE dans ce cas.

Sur la base des éléments de preuve fournis, le comité européen de la protection des données a conclu qu’il est très probable que Facebook IE traite déjà les données des utilisateurs WhatsApp IE en tant que responsable (conjoint) du traitement aux fins communes de la sûreté, de la sécurité et de l’intégrité de WhatsApp IE et des autres sociétés Facebook, ainsi que dans le but commun d’améliorer les produits des sociétés appartenant à Facebook. Toutefois, au vu des diverses contradictions, ambiguïtés et incertitudes relevées dans les informations de WhatsApp destinées aux utilisateurs, dans certains engagements écrits adoptés par Facebook IE et dans les observations écrites de WhatsApp IE, le comité européen de la protection des données a conclu qu’il n’était pas en mesure de déterminer avec certitude quelles opérations de traitement sont effectivement en train d’être effectuées et à quel titre.

En outre, il n’existe pas suffisamment d’informations pour établir avec certitude si Facebook IE avait déjà commencé à traiter les données des utilisateurs de WhatsApp IE en tant que responsable (conjoint) du traitement à ses propres fins en termes de communications marketing et de marketing direct, ainsi que de coopération avec les autres sociétés appartenant à Facebook. Il n’a pas non plus été possible de déterminer si Facebook IE a déjà commencé ou commencera bientôt à traiter les données des utilisateurs de WhatsApp IE en tant que responsable (conjoint) du traitement à ses propres fins en ce qui concerne l’interface de programmation WhatsApp Business.

En ce qui concerne l’existence d’une urgence, le comité européen de la protection des données a estimé que l’article 61, paragraphe 8, du RGPD n’était pas applicable, car la DE-HH-SA n’a pas démontré que l’autorité de contrôle irlandaise n’avait pas fourni d’informations dans le cadre d’une demande formelle d’assistance mutuelle au titre de l’article 61 du RGPD. En outre, le comité européen de la protection des données a décidé que l’adoption des termes mis à jour, qui contiennent des éléments problématiques similaires à ceux de la version précédente, ne saurait justifier, à elle seule, l’urgence d’ordonner à l’autorité de contrôle chef de file d’adopter des mesures définitives au titre de l’article 66, paragraphe 2, du RGPD. Le comité européen de la protection des données a donc estimé qu’il n’était pas urgent que l’autorité de contrôle chef de file adopte des mesures définitives dans le présent cas.

Compte tenu de la forte probabilité d’infractions, notamment à des fins de sûreté, de sécurité et d’intégrité de WhatsApp IE et des autres sociétés Facebook, ainsi qu’aux fins de l’amélioration des produits des sociétés Facebook, le CEPD a estimé que cette question nécessitait des enquêtes plus approfondies rapides. Il s’agit, en particulier, de vérifier si, dans la pratique, les sociétés appartenant à Facebook effectuent des opérations de traitement qui impliquent la combinaison ou la comparaison des données des utilisateurs de WhatsApp IE avec d’autres ensembles de données traités par d’autres sociétés appartenant à Facebook dans le contexte d’autres applications ou services proposés par celles-ci, ces opérations étant facilitées notamment par l’utilisation d’identifiants uniques. C’est pourquoi le comité européen de la protection des données demande à l’autorité de contrôle irlandaise de procéder, en priorité, à une enquête réglementaire visant à déterminer si de telles activités de traitement ont lieu ou non et, dans l’affirmative, si elles reposent sur une base juridique appropriée en vertu de l’article 5, paragraphe 1, point a), et de l’article 6, paragraphe 1, du RGPD.

En outre, compte tenu du manque d’informations sur la manière dont les données sont traitées à des fins de marketing, de coopération avec les autres sociétés appartenant à Facebook et en ce qui concerne l’interface de programmation WhatsApp Business, le comité européen de la protection des données demande à l’autorité de contrôle irlandaise d’enquêter de façon plus pousser en ce qui concerne le rôle de Facebook IE, à savoir si cette dernière agit en tant que sous-traitant ou en tant que responsable conjoint de ces opérations de traitement.

Prochaines étapes:

Cette décision contraignante d’urgence a été adressée à l’autorité de contrôle irlandaise, à la DE-HH SA et aux autres autorités de contrôle concernées, et Facebook IE et WhatsApp IE ont été informées de cette même décision.

La décision contraignante d’urgence sera publiée sur le site internet du comité européen de la protection des données après avoir évalué s’il convient ou non d’en expurger certaines parties afin d’éviter la divulgation d’informations couvertes par le secret professionnel.

La présente décision est sans préjudice de toute évaluation que le comité européen de la protection des données pourrait être amené à réaliser dans d’autres cas, y compris avec les mêmes parties.

 

Note aux éditeurs:

Qu’est-ce que l’article 66 du RGPD?

Dans des circonstances exceptionnelles, lorsqu’une autorité de contrôle concernée considère qu’il est urgent d’intervenir pour protéger les droits et libertés des personnes concernées, elle peut adopter des mesures provisoires visant à produire des effets juridiques sur son propre territoire et ayant une durée de validité déterminée qui n’excède pas trois mois.

Ces mesures sont adoptées par dérogation au mécanisme de contrôle de la cohérence prévu à l’article 63 du RGPD ou au mécanisme de guichet unique prévu à l’article 60. Dans ce cas, l’article 66 du RGPD permet aux autorités de contrôle d’adopter immédiatement des mesures provisoires.

L’autorité de contrôle qui émet ces mesures provisoires doit les communiquer sans tarder, avec les motifs de leur adoption, aux autres autorités de contrôle concernées, au comité européen de la protection des données et à la Commission européenne.

Si l’autorité de contrôle qui a pris de telles mesures provisoires estime que des mesures définitives doivent être adoptées d’urgence, elle peut demander au comité européen de la protection des données un avis d’urgence ou une décision contraignante d’urgence, en fournissant les motifs liés à l’urgence d’ordonner l’adoption de mesures définitives par dérogation aux procédures standard de coopération et de cohérence.