La DPA irlandaise (DPC) a infligé une amende de 225 000 000 EUR à WhatsApp Ireland Ltd. La DPA avait lancé des enquêtes approfondies sur le respect par le service de messagerie des obligations de transparence en décembre 2018. Dans ce contexte, la DPC a enquêté sur le respect par WhatsApp de ses obligations. en vertu du RGPD concernant la fourniture d'informations et la transparence de ces informations aux utilisateurs et aux non-utilisateurs de WhatsApp. Au cours de l'enquête, la DPC a constaté que WhatsApp avait commis de graves violations de l'art. 12 RGPD, art. 13 RGPD et art. 14 GDPR en ce qui concerne les informations fournies aux utilisateurs. À la suite de l'enquête, le DPC a soumis un projet de décision en vertu de l'art. 60 RGPD à d'autres autorités de contrôle européennes concernées en décembre 2020. Le DPC a ensuite reçu des objections de huit autorités de contrôle. Faute d'accord, le DPC a engagé une procédure de règlement des litiges conformément à l'art. 65 GDPR le 3 juin 2021. Le Contrôleur européen de la protection des données (EDPB), par sa décision du 28 juillet 2021, a donc demandé au DPC de réévaluer et d'augmenter sa proposition d'amende en fonction d'un certain nombre de facteurs. Le CEPD a constaté une violation du principe de transparence énoncé à l'article 5, paragraphe 1, a) du RGPD en plus des violations constatées par le DPC, et a demandé que cela soit reflété dans le montant final de l'amende. Sur cette base, la DPC a infligé une amende d'un montant de 225 000 000 EUR. L'amende est composée comme suit : 90 000 000 EUR pour la violation de l'art. 5 (1) a) RGPD ; 30 000 000 EUR pour la violation de l'art. 12 RGPD ; 30 000 000 EUR pour la violation de l'art. 13 RGPD ; et 75 000 000 EUR pour la violation de l'art. 14 RGPD. En ce qui concerne l'art. 12 RGPD et art. 13 GDPR, le DPC a constaté que WhatsApp n'avait pas fourni d'informations sur la nature de la collecte de données "sous une forme concise, transparente, intelligible et facilement accessible, en utilisant un langage clair et simple". Cela inclut de rendre les informations faciles à comprendre pour les enfants lorsqu'elles leur sont adressées. Par exemple, WhatsApp avait diffusé des informations sur la relation entre WhatsApp et d'autres sociétés Facebook et le partage de données dans le cadre de cette relation à travers une variété de textes. De plus, une grande partie des informations fournies étaient de nature tellement générale que la DPC les a jugées dénuées de sens. Les utilisateurs devaient souvent surmonter plusieurs liens vers des FAQ pour accéder aux informations qu'ils recherchaient sur le site Web de WhatsApp. À cet égard, le DPC a déclaré qu'il serait déraisonnable de s'attendre à ce que les utilisateurs effectuent des recherches sur le site Web de WhatsApp après avoir omis de trouver suffisamment d'informations dans la déclaration de confidentialité elle-même. En ce qui concerne l'art. 14 RGPD, l'un des enjeux était l'impact du consentement d'un utilisateur permettant à la plateforme de messagerie d'avoir accès à ses contacts. En tant que telle, la société a recherché les informations de contact de ses utilisateurs sur leurs téléphones pour les numéros de téléphone et d'autres données, non seulement auprès d'autres utilisateurs de WhatsApp, mais également auprès de contacts qui n'ont même pas de compte WhatsApp. La DPC constate que ces données ont fait l'objet d'un traitement illicite, car ces contacts (notamment ceux qui n'ont pas de compte WhatsApp) n'avaient reçu aucune information sur ce traitement et n'auraient donc pas pu donner leur consentement. Compte tenu de la gravité, de la nature et de l'impact considérables des violations, la DPA a conclu qu'il y avait également eu violation du principe de transparence de l'art. 5 (1) a) RGPD.