WhatsApp a justement reçu une amende de 225 millions d'euros de la part de l'autorité de surveillance irlandaise. Le mémoire irlandais de 266 pages de l'auteur Helen Dixon vaut la peine d'être lu et est instructif. Outre une analyse approfondie des processus de WhatsApp, il contient de nombreuses conclusions, y compris des déductions sur la protection des données.
Mise à jour 08.09.2025
Le lanceur d'alerte (ancien chef de la sécurité de WhatsApp Attaullah Baig) poursuit Meta en justice pour avoir ignoré des failles de sécurité.
Accusations de Kern selon Référence:
- Des milliers d'employés de Meta/WhatsApp ont accès aux données sensibles des utilisateurs (photos de profil, lieux, contacts)
- Plus de 100 000 comptes piratés chaque jour sans contre-mesures adéquates
- Refus de corrections de sécurité proposées
- Représailles et licenciement suite aux avertissements adressés aux méta-dirigeants
Baig affirme avoir violé l'accord de 2019 sur la protection des données de la FTC et les lois sur les valeurs mobilières. Il a également informé la FTC et la SEC.
Introduction
Les descriptions et les extraits de texte sous forme d'écran captures qui suivent se rapportent au rapport officiel de la Commission irlandaise des droits fondamentauxdu 20.08.2021. La motivation pour l'examen du document était en particulier la détaillabilité des explications. De nombreuses références et descriptions montrent de manière très impressionnante comment le chemin de l'enquête a été suivi. Les conclusions qui en découlent sont remarquables. Il s'agit notamment de questions sur
- Obligations d'information,
- l'indication des destinataires des données,
- de la responsabilité
- de l'identifiabilité des personnes,
- la référence personnelle des données et
- le montant de l'amende.
Les péchés de Meta: https://dr-dsgvo.de/meta
Qui veut savoir pourquoi la Commission irlandaise de protection des données utilise le terme piecemeal fashion et ce qu'il signifie, doit simplement réfléchir à la manière dont WhatsApp fournit des informations. On arrive ainsi rapidement à „häppchenweise“, un mot qui n'apparaît pas dans la RGPD et qui est donc probablement également non conforme s'il s'agit d'une obligation de communication. Ce service en tranches de l'obligation de communication semble avoir été choisi, outre Facebook, par Google comme tactique pour éviter autant que possible les lois.
La déclaration suivante revient assez souvent dans l'étude d'Helen Dixon, auteur du document dans lequel l'évaluation de WhatsApp en matière de protection des données a été effectuée.
It is clear that WhatsApp and I fundamentally disagree …
Déclaration souvent utilisée par Helen Dixon dans son rapport en tant que chef de l'autorité irlandaise de protection des données.
L'auteur écrit cela lorsque WhatsApp a donné une réponse aux questions de l'autorité de surveillance qui ne semble pas valide pour l'enquêteur en chef. Entre-temps, Facebook s'est notoirement appelé Meta. Je n'ai pas suivi ce changement de nom ici.
Valeur de hachage comme donnée à caractère personnel ?
Généralement, dans le cadre du procès contre WhatsApp, on examine comment les utilisateurs qui ne utilisent peut-être pas WhatsApp sont abordés en matière de protection des données. Lorsqu'un nouveau utilisateur s'inscrit sur WhatsApp, ses contacts dans son annuaire sont informés par WhatsApp. Cela se fait avec leur consentement, mais probablement pas conformément à la RGPD. Ces utilisateurs dans l'annuaire d'un nouveau utilisateur WhatsApp sont appelés Non-utilisateurs. La notification se produit de manière invisible via une communication avec l'application WhatsApp et non via une notification visible au niveau du système d'exploitation, en tout cas je ne sais pas.
La notification des Non-Users se fait de la manière suivante: on regarde dans un répertoire si ces utilisateurs ont déjà été notifiés. Pour être économe en données, on ne stocke pas leur numéro de téléphone dans le répertoire, mais un Hash-Wert. Ce procédé s'appelle Lossy Hashing. Qui veut savoir comment fonctionne ce hashage, trouvera les informations suivantes.
WhatsApp introduit ce hash-value pour les numéros de téléphone afin d'informer les autres utilisateurs WhatsApp via la fonctionnalité Contact Feature lorsqu'un nouveau utilisateur rejoint WhatsApp (Rn. 44h). La raison du recours à l'approche par hash est également abordée.
Avec la valeur de hachage, il n'est probablement pas possible de conclure à un utilisateur précis. Au contraire, il ne devrait plus être possible de conclure à un groupe de 16 utilisateurs différents.
Il convient de noter que dans un arrêt du OGH (Autriche) du 18.02.2021 (Affaire n° 6 Ob 127/20z), les déclarations probables sur les préférences des personnes ont été considérées comme des données personnelles, à condition que le lien avec la personne soit établi avant que ces déclarations ne soient faites.
Identification d'une personne
L'intérêt réside dans la compréhension de l'article cité par Madame Dixon, Article 29 Working Party de l'UE, qui est même mentionné à Art. 94 RGPD. Ce groupe considère que: Une Personne est considérée comme identifiable, lorsqu'elle peut être distinguée d'une autre groupe de personnes. Cela est exprimé dans l'opinion appelée Opinion 4/2007 du groupe.
La qualité d'identifier comme critère pour l'existence de données à caractère personnel est mentionné dans Art. 4 N° 1 RGPD. Le considérant 26 mentionne en outre.
Il n'est donc pas nécessaire que l'on puisse réellement faire référence à une personne, de sorte qu'un "dur" date personnelle comme l'adresse IP, le nom, l'adresse postale ou le numéro de plaque d'immatriculation soit présent. Il suffit en effet que l'on puisse reconnaître une personne comme la même et la distinguer des autres personnes.
C'est d'ailleurs le concept du Web Tracking. Il ne s'intéresse pas plus à Google & Co, qui est exactement derrière l'utilisateur qui visite actuellement une page web. Au contraire, Google ou un annonceur souhaite savoir si cet utilisateur est l'utilisateur 4711 ou un autre, afin que son profil d'utilisateur puisse être utilisé. Puisque l'utilisateur 4711 est connu pour être féminin, écouter de la musique heavy metal et acheter en ligne des spécialités grecques avec plaisir.
Même si on ne peut pas directement en déduire que telle personne est visée dans un groupe de personnes, il peut s'agir d'une identifiabilité de la personne. C'est ainsi qu'on l'a exprimé par Article 29 Working Party.
Concrètement, cela signifie selon ma compréhension que même les informations supplémentaires qui ne sont pas disponibles doivent être prises en compte, mais qui pourraient être obtenues ou deviendraient disponibles dans un avenir proche. C'est analogue à l'arrêt du Tribunal de justice des Communautés européennes concernant les adresses IP.
Dans Rn. 60 et 61, on poursuit ce que le CJUE a déjà établi: que les données sont considérées comme personnelles au sens de l'article 4, n°1 du RGPD, même si elles ne peuvent pas être directement ou indirectement liées à une personne par le responsable.
Le motif 26 contient une approche basée sur le risque pour évaluer si des données sont personnelles (Rn. 79). Cela est également vu dans l'arrêt Breyer du TJUE concernant les adresses IP (Rn. 85). Dans l'arrêt Breyer, il est précisé que un lien avec une personne doit être admis (à condition qu'un identifiant comme une adresse IP ou autre chose soit utilisé), si le risque d'identification ne peut pas être négligé de facto (Rn. 46).
Le considérant 26 stipule, entre autres, que:
Pour déterminer si une personne physique est identifiable, il convient de prendre en considération tous les moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique, directement ou indirectement, comme par exemple le tri.
Extrait du considérant 26 du RGPD.
On dit là-bas que la technologie disponible au moment de la traitement et les développements technologiques doivent être pris en compte. Dans ce contexte, WhatsApp est soupçonné d'avoir pu, à l'aide d'un numéro de téléphone connu d'un Non-Users, effectuer des recherches sur Internet ou dans les médias sociaux pour déterminer son identité (Rn. 83 c).
Un comparaison est faite entre la valeur de hachage WhatsApp des Non-Users et le décision du CJUE sur les adresses IP (Rn. 70 et 95). Madame Dixon constate que la valeur de hachage pour un Non-User associée à son numéro de téléphone, qui est conservé dans la mémoire pour une très courte durée, constitue des données personnelles (Rn. 66 et 110). Le numéro de téléphone est également considéré comme des données personnelles par Madame Dixon après avoir été converti en valeur de hachage.
L'approche est très intéressante, testons l'hypothèse que le numéro de téléphone d'un Non-User ne constitue pas un donné personnel (Rn.89). La conséquence serait qu'il pourrait être traité sans restriction. Cela paraît absurde et c'est pourquoi on n'y croit pas, ce qui confirme l'aspect personnel des données (Rn. 90f). Une autre approche de cette idée conduit par Article 33 du RGPD. Là, il est mentionné que la violation de la protection des données personnelles doit être signalée à une autorité de contrôle. Un tel signalement ne serait pas possible si les données en question n'étaient pas personnelles (Rn. 94). On constate également que WhatsApp a le contrôle du design de l'application et aurait pu établir des mécanismes de sécurité correspondants. Voici Article 25 du RGPD comme référence.
Il suffit qu'il y ait possibilités d'identification de personnes et il n'est pas important que quelqu'un en soit capable ou ne le veuille pas (Rn. 95). La probabilité d'une identification n'a donc aucune importance.
La traitement des données d'un numéro de téléphone d'un Non-Utilisateur se déroule dans les étapes suivantes (Rn. 103):
- Accès au numéro par WhatsApp
- Transfert du numéro vers les serveurs de WhatsApp
- Formation d'un Lossy-Hash valeur à partir du numéro
- Effacement irréversible du numéro
Malgré la suppression définitive du numéro après un très court laps de temps, il est considéré comme personnel. La collecte sous forme d'enregistrement du numéro avec connaissance possible est soulignée comme une importante manière de traitement des données (to collect = collecter, Rn. 103). S'il s'agit réellement pour WhatsApp de supprimer le numéro ou si elle ne l'affirme que, c'est une autre question.
L'existence d'un traitement de données ne dépend pas de restrictions temporelles. Même les données qui ne sont disponibles que pendant une période extrêmement courte font l'objet d'un traitement de fait.
Selon le paragraphe 104 ibid.
En outre, il est effectué que un Non-User est d'abord une personne non identifiée plus précisément parmi un groupe nombreux. L'objectif est cependant de s'adresser à l'individuel Non-User et le faire passer en Utilisateur, ce qui suppose une identification antérieure (Rn. 92).
Madame Dixon accepte que la fonctionnalité WhatsApp pour identifier les contacts du carnet d'adresses qui sont également des utilisateurs de WhatsApp est utile. D'un autre côté, elle constate aussi que WhatsApp lui-même en profite (Rn. 93). Cela donne lieu à une responsabilité.
Alors cela devient compliqué, c'est pourquoi je vais simplement y aller de mon mieux. En raison de nouvelles informations fournies par WhatsApp, un matching des utilisateurs se fait à l'aide d'un nouveau hash-valeur appelé Notification Hash, et non avec le Lossy Hash qui a été mentionné précédemment. L'Irlande et le Comité européen pour la protection des données (Cepd) n'étaient pas d'accord sur la question de l'attribution d'une identité à une adresse de téléphone non utilisée après hashing. Le comité a donné à l'Irlande, conformément Article 65, paragraphe 6 de la RGPD, l'instruction de corriger son opinion et d'admettre que c'est une donnée personnelle (Rn. 106ff).
Qu'est-ce qu'un responsable ("contrôleur") ?
Une responsabilité résulte de faits concrets et non des circonstances formelles (Rn. 119f). Le concept du responsable est donc un concept fonctionnel. Pour déterminer les moyens utilisés, il faut poser à la fois des questions organisationnelles et des questions techniques, comme le postule l' Opinion 1/2010. Qui détermine les objectifs est en fait responsable (Rn. 121). Cela vaut notamment pour la détermination de la durée de conservation des données ou les possibilités d'accès.
La personne responsable peut également être déterminée à partir de la personne qui a déclenché un processus ou de la raison pour laquelle le processus a lieu (point 122 c)).
Pour déterminer s'il y a une responsabilité, il est possible d'effectuer un test sur différents critères. C'est ce que propose Helen Dixon.
Le concept de rôle d'un responsable se caractérise principalement par l'attribution de responsabilité (Rn. 116). Il est également fait référence à Opinion 1/2010 de la Groupe Article 29 (Rn. 118). D'après cela, une responsabilité est créée lorsque un poste a décidé de traiter des données à ses propres fins.
Les questions importantes pour déterminer la responsabilité sont (point 141):
- Quelles données doivent être traitées ?
- Combien de temps les données sont-elles conservées ?
- Qui doit avoir accès aux données ?
Ces questions sont à répondre du point de vue des personnes concernées, une vue élargie sur la responsabilité est appropriée dans ce cas (Rn. 139).
Déterminez un poste, où des données personnellement liées doivent être traitées, cela augmente la chance que ce poste soit responsable (cf. Rn. 145 c).
Si un organisme n'indique pas, ou pas précisément, la durée de conservation des données, cela augmente les chances que l'organisme soit responsable (voir considérant 145 d), car la personne concernée n'a alors aucune influence significative sur ce point et n'en est donc pas responsable.
Celui qui détermine qui a accès aux données en est responsable ou augmente ses chances d'être responsable du traitement des données (voir considérant 145 e).
Il en va de même pour la détermination des moyens (marginal 145 f).
Après tout cela et plus encore, Helen Dixon voit WhatsApp comme responsable et pas comme sous-traitant (Rn. 154).
Obligations d'information des responsables
En raison de la complémentarité des art. 13 RGPD et des art. 14 RGPD, Mme Dixon voit une signification particulière pour l'obligation d'information des personnes concernées par les responsables (Rn. 173). Elle la formule même encore plus clairement et voit les obligations d'information, en raison également des art. 15, al. 1 et 2 RGPD, comme le fondement ("bedrock"), sur lequel s'appuient les autres droits des personnes concernées (Rn. 174). Car c'est seulement alors que la personne concernée peut comprendre si et comment ses données ont été ou seront traitées.
Les informations obligatoires sur la gestion des données fournies par WhatsApp ont été prises en compte quant à leur ampleur (Rn. 195). On a même déterminé l'ampleur approximative en pages DIN A4. On a également déterminé le pourcentage de chaque document individuel (conditions d'utilisation, informations sur la protection des données etc.) dans l'ensemble de l'ampleur en pourcentage.
Il a été constaté que la mise en lien d'un document important avec un texte de lien comme «En savoir plus» ne suffit pas (Rn. 196f). Le format des documents individuels a fait l'objet d'une critique approfondie (Rn. 198f) et a été mis en relation avec Article 12, paragraphe 1 de la RGPD. De même, la nécessité du scrollage d'un texte plus long a été examinée de manière critique (environ Rn. 204). WhatsApp avait même reconnu l'existence d'un besoin d'amélioration dans la fourniture des informations obligatoires en réponse à l'enquête (Rn. 215f).
Dans Rn. 224, il est noté que les conditions du marché ou des comportements spécifiques pour certains segments de marché en ce qui concerne la RGPD sont irrélevants. L'argument «tout le monde fait comme ça» ne vaut pas la peine. Cette pseudo-argumentation m'est récemment venue à l'esprit dans une réponse défensive d'une requérante. Le procédure, dans laquelle j'ai pu soutenir en tant que spécialiste devant la cour, est toujours en cours.
Une fourniture excessive d'informations générales et une fourniture insuffisante d'informations concrètes apparaît préjudiciable à la RGPD (Rn. 226).
Commencant à Rn. 329, Mme Dixon explique quelles informations WhatsApp fournit sous quelle forme et examine également les liens vers d'autres documents. À partir de Rn. 332, les documents sont critiqués quant à leur structure et la manière dont ils sont mis en ligne. On met également en avant l'existence de redondances dans le contenu et, à l'inverse, l'absence de exemples ou une langue ambiguë à certaines endroits. En conséquence, on voit un risque d'embrouillement et d'opacité (Rn. 336).
Le tout est résumé comme suit:
The user should not have to work hard to access the prescribed information; nor should he/she be left wondering if he/she has exhausted all available sources of information and nor should he/she have to try to reconcile discrepancies between the various pieces of information set out in different locations.
Rn. 337 ebd.
Cette approche peut également être appliquée aux nombreux documents Google confus et intransparents qui apparaissent lors de l'utilisation des outils Google comme Google reCAPTCHA, Google Maps ou le Google Tag Manager. Je me réjouis à l'idée d'un prochain plus grand amendes que Google espère recevoir. Un motif serait le Chrome Browser. ([1]) ([2]) ([3]) ([4])
L'art. 345 stipule que malheureusement, WhatsApp n'a pas suffisamment pris en compte les catégories de données traitées.
Dans Rn. 355, on trouve l'expression utilisée en haut de mon article comme Cliffhanger:
The information has been furnished in a piecemeal fashion that requires the user to link in and out of various different sections of the Privacy Policy as well as the Terms of Service and a comprehensive FAQ entitled “How we work with the Facebook Companies” […].
paragraphe 355 ibid.
Il est fait remarquer que les informations sur la protection des données de WhatsApp sont présentées d'une telle manière que aucun fil rouge n'est visible, encore moins un seul texte global (Rn. 356), à cela s'ajoute "L'utilisateur ne doit pas avoir à travailler dur pour accéder aux informations prescrites". Je souhaiterais faire part de cette accusation à Google. Il est probablement plus simple d'y aller en raison du siège irlandais, mais plutôt de poursuivre les responsables allemands qui n'ont pas d'autre choix que d'utiliser sans réflexion des services de Google ou idéalement comprendre les explications de Google et m'expliquer dans un mois (Article 12, paragraphe 3 RGPD).
Helen Dixon constate régulièrement, en examinant les déclarations de WhatsApp, qu'elle et WhatsApp sont "fondamentalement en désaccord". Cela vaut tout de même une amende, même si elle n'est pas très douloureuse pour Facebook.
Indication des destinataires
Conformément à l'article 13, paragraphe 1 de la RGPD et à l'article 14, paragraphe 1 de la RGPD , les destinataires ou catégories de destinataires des données doivent être nommés pour satisfaire aux obligations d'information prévues à l'article 12 de la RGPD . Le groupe Article 29 est cité ici par Madame Dixon (Rn. 426). ([1]) ([2]) ([3])
Le Groupe écrit qu'en règle générale, les noms des destinataires doivent être mentionnés, car il s'agit généralement de l'information la plus importante à laquelle une personne concernée a droit. La personne doit justement pouvoir savoir qui a reçu ou doit recevoir ses données.
Lorsque des catégories de destinataires sont désignées, elles doivent l'être de manière aussi précise que possible. Il s'agit notamment de désigner les activités de chaque catégorie de destinataires.
Je pense personnellement que, au moins lors d'une requête de renseignements conformément à l'article 15, alinéa 1 c) du RGPD, les destinataires concrets doivent être nommés. En particulier, cela s'applique selon moi lorsque la personne concernée le demande explicitement. Ces destinataires doivent en fin de compte être connus du responsable. La requête de renseignements spécifique ne peut probablement pas être contestée que par des motifs valables justifiant l'omission de certains destinataires. À part un accord de confidentialité ou autre chose, je n'imagine pas beaucoup d'autres possibilités à ce sujet. Dans l'article 15 précédemment mentionné, j'ai cité quelques sources qui soutiennent mon opinion.
Indication de la durée de conservation
Selon l'article 5, paragraphe 1, c et e de la RGPD, les principes de minimisation des données et de limitation de stockage s'appliquent. Dans ce contexte, il faut satisfaire aux obligations d'information (l'article 13, paragraphe 2, a de la RGPD). En particulier, pour évaluer si un intérêt légitime existe, la durée de stockage des données est une information importante. La Working Party Article 29 est citée comme suit:
It is not sufficient for the data controller to generically state that personal data will be kept as long as necessary for the legitimate purposes of the processing. Where relevant, the different storage periods should be stipulated for different categories of personal data and/or different processing purposes, including where appropriate, archiving periods.
Extrait du paragraphe 468.
D'après cela, les indications sur la durée de stockage doivent être aussi précises que possible. Dans Rn. 469, il est rappelé qu'il s'agit là d'informations importantes ("meaningful information") dont le lecteur doit pouvoir tirer quelque chose.
Dans Rn. 482, on confirme toutefois que WhatsApp a réussi à satisfaire les exigences de l'article 13 du RGPD en matière d'information sur le droit à l'accès aux données. Cependant, lorsqu'il s'agit de conditions pour une consentement, on constate quelque chose de négatif (Rn. 496).
Une prise de décision automatisée selon Art. 13 Abs. 2 f n'a pas lieu, selon Rn. 524, sur WhatsApp.
Partage de données avec d'autres entreprises Facebook
La troisième partie du document examine la question de la transparence du partage des données des utilisateurs entre WhatsApp et les autres entreprises de Facebook. La conformité avec le RGPD de certains passages de l'avis de confidentialité de WhatsApp est minutieusement examinée. La citation de ces passages explique en partie la longueur de l'ensemble du document de Mme Dixon, bien que de nombreuses discussions contribuent à cette longueur.
Mme Dixon constate que les sociétés Facebook avec lesquelles WhatsApp partage des données ne sont pas suffisamment identifiées (considérant 577). WhatsApp estime que ce n'est pas grave, car le RGPD ne l'exige pas (considérant 581) ou qu'il suffirait que ces informations soient disponibles ailleurs, dans n'importe quelle source publique.
Dans Rn. 591f, il est officiellement établi que WhatsApp a échoué à décrire suffisamment l'échange de données avec d'autres entreprises Facebook. De plus, Mme Dixon encourage WhatsApp à supprimer les informations sur la protection des données contestables, à condition que WhatsApp n'ait pas l'intention d'échanger des données avec d'autres sociétés Facebook.
Transparence du traitement
Dans la partie 4 du document, les questions de transparence dans le traitement des données sont examinées (Rn. 593ff). Il s'agissait principalement du concept de transparence évoqué par Madame Dixon Art. 5 Abs. 1 RGPD et des obligations d'information des articles 12, 13 et 14 RGPD.
Le EDPB ne considère pas ce concept de transparence comme étant défini dans la RGPD, mais il est toutefois donné (Rn. 188). L'Irlande a été surclassée par l'Europe et doit faire face à WhatsApp en raison d'une infraction à l'article 5, alinéa 1 de la RGPD.
Détermination de l'amende
Je passe sur le détail de la partie 5 qui traite de l'application d'une amende, car elle s'étend sur beaucoup plus de pages que je ne pensais. Finalement, le EDPB demande à l'autorité irlandaise de prononcer une peine plus élevée que prévue (Rn. 807).
La commission irlandaise de protection des données voulait d'abord infliger une amende de 50 millions d'euros à Google. Un recours en appréciation par d'autres autorités européennes, notamment l'Allemagne, a conduit à une amende de 225 millions d'euros. Il est possible que les 50 millions d'euros soient été infligés à cause de la décision de la CNIL (Commission Nationale Informatique et Libertés) française qui a infligé une amende équivalente à Google pour l'utilisation de la recherche google.fr en France (Rn. 809ff).
Pour ceux qui veulent savoir quel est le chiffre d'affaires de Facebook (USA) et de WhatsApp (Irlande), la réponse se trouve ici:
Après tout, le chiffre d'affaires était si élevé que l'amende ne dépassait pas 2 ou 4 % de cette somme. Voici une statistique (plus récente) qui aide à estimer le chiffre d'affaires:
Le montant de l'amende se compose de plusieurs sommes partielles, justifiées comme suit.
L'article 5, paragraphe 1, a de la RGPD oblige le traitement des données personnelles à être effectué de manière légitime, en bonne et loyale foi et d'une manière qui permet à la personne concernée de comprendre. Cela semble ne pas avoir été réalisé par WhatsApp.
L'article 12 du RGPD contient des dispositions relatives aux obligations d'information transparente des personnes concernées, qui semblent avoir été gravement enfreintes par WhatsApp.
L'article 13 du RGPD concerne les informations relatives au traitement des données traitées auprès de la personne concernée. WhatsApp présentait également des lacunes dans ce domaine.
L'article 14 du RGPD est analogue à l'article 13 du RGPD, mais il s'agit ici de données qui n'ont pas été traitées auprès de la personne concernée. Il convient notamment de mentionner le processus d'informer les Non-Users, qui a été mis en œuvre avec un procédé de hachage qui ne semble pas conforme à la protection des données.
L'importance de l'amende a été critiquée à plusieurs reprises, car pour Facebook, le montant semble plutôt faible. Je suppose que le bénéfice économique pour Facebook des traitements de données caractérisés par les infractions constatées était beaucoup plus élevé. Enfin, il est quasi d'or en valeur marketing si l'enregistrement d'un nouveau utilisateur permet d'exploiter tous les utilisateurs de son carnet d'adresses.
Remarques finales
Les explications et les justifications mentionnées dans le document d'Helen Dixon méritent certainement d'être lues. Ils mènent à des conclusions intéressantes. Mais ils montrent au moins comment peut se dérouler un contrôle administratif. Ainsi, des études menées par les propres autorités sont mentionnées, auxquelles WhatsApp a répondu. Un collaborateur ("Decision Maker") en a ensuite déduit des conclusions, qui ont été analysées par l'enquêtrice en chef elle-même, qui a également pris en compte les réponses de WhatsApp.
L'argumentation d'Helen Dixon repose sur une déduction que je trouve en soi concluante. Quant à savoir si l'évaluation en question est concrètement bonne ou mauvaise, juste ou fausse, appropriée ou biaisée, c'est une autre question.
Quoi qu'il en soit, l'argumentation s'inspire fortement des directives et des opinions pertinentes, comme celles du groupe de travail Article 29, le prédécesseur du CEPD.
Je suis d'accord avec Helen Dixon sur un point important: Une personne est considérée comme identifiable dans la mesure où elle peut être distinguée d'autres personnes. Cela correspond à l'avis du groupe Article 29.
Aussi intéressant
- L'autorité norvégienne de protection des données contre Grindr. La lettre de motivation des Norvégiens, qui prévoit une amende de plusieurs millions, compte 68 pages. Le style d'écriture et la structure sont totalement différents de ceux du document de WhatsApp.
Messages clés de cet article
WhatsApp s'est vu infliger une amende de 225 millions d'euros pour avoir enfreint les règles de protection des données, notamment en partageant les données de ses utilisateurs avec d'autres entreprises.
Même si une valeur de hachage ne permet pas d'identifier directement une personne, elle peut néanmoins être considérée comme une donnée à caractère personnel si elle est utilisée pour identifier une personne au sein d'un groupe de personnes.
Même si un numéro de téléphone n'est pas directement lié à une personne, il peut néanmoins être considéré comme une donnée à caractère personnel, car il permet d'identifier quelqu'un.
WhatsApp traite les numéros de téléphone, même s'ils doivent être supprimés, afin d'identifier les utilisateurs et de leur montrer des publicités.
Quiconque traite des données et détermine qui y a accès est responsable du respect du règlement général sur la protection des données (RGPD).
Les politiques de confidentialité de WhatsApp et Google sont peu claires et difficiles à comprendre pour les utilisateurs.
WhatsApp doit être plus transparent sur les données qu'il partage avec qui et sur la durée de leur conservation.
WhatsApp s'est vu infliger une amende de 225 millions d'euros pour manque de transparence dans l'utilisation et le partage des données avec d'autres entreprises de Facebook.
L'autorité de surveillance de la protection des données critique Facebook (WhatsApp) pour ses pratiques non conformes à la protection des données en matière de notification des non-utilisateurs et estime que l'amende est trop faible.
Au-delà de ces messages clés
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
