L'autorité irlandaise de protection des données (DPC) a infligé une amende de 5,5 millions d'euros à WhatsApp Ireland Ltd. L'organisation autrichienne « None of Your Business » (NOYB) avait déposé une plainte auprès de la DPA au nom d'un particulier. WhatsApp avait mis à jour ses conditions d'utilisation peu de temps avant l'entrée en vigueur du RGPD. Dans ses nouvelles conditions d'utilisation, WhatsApp informait ses utilisateurs de cliquer sur « Accepter et continuer » pour indiquer leur accord avec les nouvelles conditions d'utilisation. Cela était nécessaire pour accéder ultérieurement aux services. WhatsApp partait du principe que l'acceptation des conditions d'utilisation mises à jour constituait un contrat entre WhatsApp et l'utilisateur, puisque le traitement des données serait nécessaire à la fourniture ainsi qu'à l'amélioration des services. Selon WhatsApp, le traitement des données était donc légal au sens de l'art. 6 (1) b) du RGPD. Cependant, le plaignant a fait valoir que WhatsApp essayait en fait de s'appuyer sur le consentement comme base juridique pour le traitement des données des utilisateurs. En subordonnant l'accès à ses services au consentement des utilisateurs aux conditions d'utilisation mises à jour, WhatsApp obligeait les utilisateurs à consentir au traitement de leurs données personnelles. À la suite de l'enquête, la DPC a soumis un projet de décision en vertu de l'article 60 du RGPD aux autres autorités de contrôle européennes concernées. La DPC a constaté que WhatsApp ne s'appuyait pas sur le consentement de l'utilisateur comme base juridique et n'a pas envisagé le « consentement forcé » dans ce cas. Elle n'a pas non plus exclu la possibilité que WhatsApp s'appuie sur une base juridique contractuelle. En réponse, la DPC a reçu des objections de différentes autorités de contrôle. Cependant, la DPC a estimé que WhatsApp avait violé ses obligations de transparence en vertu du RGPD, en n'expliquant pas clairement aux utilisateurs à quelle fin et sur quelle base juridique leurs données personnelles seraient traitées. Aucun accord n'ayant pu être trouvé sur les points litigieux, la DPC a engagé une procédure de règlement des litiges en vertu de l'article 65 du RGPD. Dans sa décision, le CEPD a confirmé la violation des obligations de transparence par WhatsApp. Cependant, le CEPD a adopté une position différente de celle du CEPD sur la question de la base juridique et a estimé que WhatsApp n'était pas en droit de s'appuyer sur une base juridique contractuelle. Le CEPD a donc estimé que WhatsApp avait violé l'article 6 (1) du RGPD. La DPC a confirmé sa décision finale et a imposé l'amende, tout en exigeant que WhatsApp mette en conformité son traitement des données dans un délai de trois mois. La DPC a confirmé sa décision finale et a imposé l'amende, tout en exigeant que WhatsApp mette en conformité son traitement des données dans un délai de six mois.