La Commission de la protection des données (« DPC ») a annoncé, le 2 septembre 2021, qu'elle avait rendu une décision infligeant une amende de 225 millions d'euros à WhatsApp Ireland Ltd., après avoir été tenue de réévaluer et d'augmenter son amende proposée sur la base d'un certain nombre facteurs par la décision contraignante de règlement des litiges du comité européen de la protection des données (« EDPB »), adoptée le 28 juillet en vertu de l'article 65, paragraphe 1, point a), du règlement général sur la protection des données (règlement (UE) 2016/679) (« RGPD »).

En particulier, le CEPD a souligné qu'il avait demandé au DPC de modifier son projet de décision concernant les atteintes à la transparence, le calcul de l'amende et le délai de mise en conformité. Plus précisément, l'EDPB a souligné qu'en plus des conclusions de la DPC, WhatApp avait commis une grave violation des articles 12, 13 et 14 du RGPD en ce qui concerne les informations fournies aux utilisateurs, ainsi que qu'il avait en outre identifié d'autres lacunes dans les informations fournies, affectant la capacité des utilisateurs à comprendre les intérêts légitimes poursuivis, et a donc demandé que la décision du DPC comprenne un constat de violation de l'article 13, paragraphe 1, point d) du RGPD. En outre, le CEPD a souligné qu'il y avait également eu une violation du principe de transparence consacré par l'article 5, paragraphe 1, point a), du RGPD, et a demandé que cela soit reflété dans le montant final de l'amende.

En outre, l'EDPB a formulé un certain nombre de demandes et fourni des éclaircissements en ce qui concerne le calcul de l'amende elle-même. Plus précisément, le CEPD a décidé que le chiffre d'affaires d'une entreprise n'est pas exclusivement pertinent pour la détermination du montant maximal de l'amende conformément à l'article 83, paragraphes 4 et 6 du RGPD, mais qu'il peut également être pris en compte pour le calcul de la l'amende elle-même, le cas échéant, pour garantir que l'amende est effective, proportionnée et dissuasive conformément à l'article 83, paragraphe 1, du RGPD. Par conséquent, l'EDPB a estimé que le chiffre d'affaires consolidé de la société mère de WhatsApp, Facebook Inc., devait être inclus dans le calcul du chiffre d'affaires. En outre, le CEPD a fourni, pour la première fois, des éclaircissements sur l'interprétation de l'article 83, paragraphe 3, du RGPD, en soulignant qu'en cas d'infractions multiples pour le même traitement ou des traitements liés, toutes les infractions doivent être prises en considération lors du calcul le montant de l'amende.

Enfin, la décision finale du CPD comporte une injonction de mise en conformité des traitements dans un délai de trois mois, ayant été réduit par rapport au délai de six mois initialement prévu par le projet de décision du CPD, comme demandé par le CEPD, qui avait souligné l'importance vitale l'importance d'assurer le respect des obligations de transparence dans les plus brefs délais.

Vous pouvez lire le communiqué de presse de la DPC ici, le communiqué de presse du CEPD ici, la décision contraignante du CEPD ici, et la décision finale de la DPC ici.