La AEPD a conclu à l’existence de deux infractions graves à la Loi Organique de Protection de Données : dans le cas WhatsApp, pour la communication de données à Facebook sans autorisation de l’utilisateur et, dans celui de Facebook, pour le traitement de ces données à des fins propres.
En 2014, Facebook a racheté le service de messagerie WhatsApp et a actualisé en 2016 les termes de son service et ceux de sa politique de confidentialité, introduisant ainsi des changements tels que le partage d’informations relatives aux utilisateurs de WhatsApp avec Facebook.
L’Agence a imposé une sanction de 300.000 euros à chaque entité – la montant maximal correspondant aux infractions grave déclarées- en prenant en compte des facteurs comme le volume de traitements effectués, le chiffre d’affaires des sociétés coupables ou encore la relation entre leur activité et le traitement de données de caractère personnel, entre autres. La décision de la AEPD conclut que la communication et le traitement de données réalisés par WhatsApp envers Facebook n’est pas conforme aux exigences requises par la législation espagnole et européenne de protection des données.
Selon l’article 11 de la LOPD, la communication de données personnelles exige le consentement du sujet concerné. Le cadre normatif actuel requiert que ce consentement doive, en outre, être libre, spécifique et éclairé. Dans le cas de Facebook, la AEPD considère que le réseau social utilise les informations sur les utilisateurs cédées par WhatsApp pour le propre compte de son activité, ce qui nécessite un consentement libre, spécifique et éclairé de l’utilisateur, qui n’existe pas en l’espèce au vu des manquements observés dans la conduite de WhatsApp. De surcroît, la AEPD juge que l’absence d’information ou l’insuffisance de celle-ci détermine également le défaut de consentement.