A coup sûr, après avoir payé, il se sentira plus léger. Ou pas. En tout cas, WhatsApp doit retirer 225 millions d’euros de son portefeuille. L’amende, décidée jeudi par le régulateur irlandais (DPC pour Data Protection Commission) – l’application a installé son siège en Irlande –, est la deuxième plus grosse jamais infligée par un régulateur européen. La première date du mois de juillet : 746 millions d’euros contre Amazon au Luxembourg pour non-respect de la réglementation européenne sur les données privées des internautes.

Mais qu’a bien pu faire l’application de messagerie, propriété du groupe Facebook, pour recevoir un tel coup de martinet ? Comme le retrace l’Agence France Presse (AFP), depuis deux ans, la Cnil irlandaise enquête sur la filiale. A l’origine, les investigations portaient sur le respect par WhatsApp de ses obligations de transparence en vertu des règles européennes sur la protection des données, à savoir le Règlement général sur la protection des données (RGPD).

Mais, au début de l’année, l’application a annoncé la mise en place de nouvelles conditions d’utilisation concernant la gestion des données personnelles des utilisateurs. Dès le départ, ces derniers s’interrogent : est-ce la fin du «chiffrement de bout en bout» des conversations, particularité en partie responsable du succès de l’appli ? Non. Pour autant, les changements apportés n’ont rien de réjouissant.

Numéro de téléphone, adresse IP, images de profil, statut de la dernière connexion… Si ces nouvelles conditions sont acceptées, tout un jeu de données détenues par WhatsApp est partagé avec l’ensemble du groupe Facebook, comprenant également Instagram et Messenger. Quant aux objectifs de ces modifications, ils sont, sans surprise, d’ordre commercial. Comme l’analyse le média spécialisé l’Usine digitale, la nouvelle règle permet aux applications tierces, comme Instagram, de perfectionner leur publicité ciblée.

En juillet, ces changements alertent le Bureau européen des unions de consommateurs (Beuc) qui porte plainte auprès de la Commission européenne. Dans son viseur, ces nouvelles règles qu’il qualifie de «ni transparentes ni compréhensibles pour les utilisateurs», en accusant WhatsApp de «multiples violations des droits des consommateurs européens». Peu de temps après, l’autorité allemande saisit le régulateur européen. Ce dernier finit donc par demander «de nouvelles investigations rapidement» à l’autorité irlandaise, qui doit éclairer plusieurs aspects, notamment les possibilités de croisement liées aux identifiants uniques et l’utilisation des données détenues par la filiale de Facebook.

Sur ces derniers points, les conclusions livrées jeudi par la DPC révèlent des «infractions de nature très sérieuses» et un «déficit très important d’information» fournie à l’utilisateur. Le couperet tombe : la filiale reçoit un blâme, doit se «mettre en conformité» avec les règles européennes et payer une amende de 225 millions d’euros, annonce la Cnil irlandaise.

Pas mal, comme sanction, pour une autorité souvent accusée de complaisance (Dublin bénéficie en effet des recettes fiscales provenant des nombreuses multinationales installées dans le pays). Petit détail tout de même : initialement, le régulateur souhaitait plutôt proposer une amende de 50 millions d’euros, mais il «a été contraint par les autres autorités européennes à passer à 225 millions d’euros», précise dans un communiqué Max Schrems, figure de la lutte pour la protection des données personnelles et fondateur de l’ONG None of Your Business (NOYB). «Nous nous félicitons de cette première décision du régulateur irlandais. Mais [ce dernier] reçoit environ 10 000 plaintes par an depuis 2018 et il s’agit de la première amende majeure», a-t-il ajouté.

De son côté, WhatsApp a dénoncé des «sanctions tout à fait disproportionnées» et a indiqué que l’entreprise ferait appel. «WhatsApp est engagé dans la fourniture d’un service sécurisé et privé. Nous avons travaillé pour assurer que l’information que nous donnons est transparente et complète et nous continuerons de le faire», a ajouté la firme.