1. Le 19 juillet 2024 est une date marquante dans le récit de la protection des données personnelles en Afrique. Elle a connu une décision pionnière en Afrique de la Commission fédérale de la concurrence et de la protection des consommateurs (FCCPC) du Nigéria qui a infligé une amende record de 220 millions de dollars américains à WhatsApp LLC et Meta Platforms Inc. pour violation des législations sur la protection des données, de la concurrence et des consommateurs[1]. Mais aussitôt qu’elle a été rendue, cette décision a été contestée par WhatsApp devant le Tribunal fédéral de la concurrence et de la protection des consommateurs[2]. Et, alors qu’elle venait d’être confirmée le 25 avril 2025, WhatsApp a, à nouveau, annoncé sa volonté de contester le jugement confirmatif du Tribunal[3] qui, outre d’avoir validé l’essentiel des conclusions et l’argumentaire de la Commission ainsi que l’amende et les frais engagés pour l’instruction du dossier, a reconnu sa compétence à agir en droit des données personnelles sur le fondement de l’article 104 du Federal Competition and Consumer Protection Act (FCCPA) de 2018[4] qui l’habilite à règlementer la concurrence et la protection des consommateurs, même dans les secteurs qui sont l’objet d’une règlementation particulière[5]. La décision fait grincer les dents de l’entreprise parce qu’elle challenge une idée qui était tenue pour acquise : les États du Sud, et notamment africains, contrairement à leurs pairs européens, n’ont pas les moyens de faire appliquer leurs lois face aux géants du numérique[6]. En faisant valoir le contraire, elle crée un précédent dangereux pour une entreprise globale comme Meta, dont le modèle économique repose sur l’extraction et la monétisation des données personnelles et qui, pour prospérer, est prête à empêcher ou briser toute résistance[7], individuelle comme collective, à plus forte raison quand elle vient de pays connus pour les moyens limités de leurs autorités de protection et le faible engagement de la société civile. Cela rappelle une autre époque — parallèle peut-être exagéré, mais pertinent — où il fallait briser toute tentative de résistance face à la colonisation pour envoyer un message aux autres colonisés quant au sort qui leur serait réservé. Meta s’emploie ainsi à « casser » la décision. Elle a d’ailleurs signifié que si la sanction est maintenue, elle risque d’affecter la fourniture de ses services au Nigéria[8]. Le message est clair : si vous insistez sur le respect de vos libertés et refusez que nous vous dépossédions de votre droit de décider de l’usage de vos données, nous vous priverons de nos services. La menace est à prendre au sérieux, quand on sait combien l’entreprise et ses semblables ont travaillé à rendre leurs services indispensables aux citoyens[9]. C’est une bataille judiciaire qui est ainsi engagée entre l’entreprise et les autorités nigérianes et dont l’issue sera déterminante quant à la stratégie des géants du numérique en matière de protection des données en Afrique.
2. Pour en revenir aux données de cette décision retentissante de la FCCPC qui est venue rappeler à Meta et compagnies qu’en Afrique aussi les individus se battent et se battront encore contre toute tentative de dépossession de leur vie privée et autres libertés, il faut rappeler qu’elle a fait suite à une enquête longue et contradictoire[10], menée conjointement avec la Nigeria Data Protection Commission (NDPC)[11] de mai 2021 à novembre 2023. Dans les faits, l’histoire commence le 7 janvier 2021 quand WhatsApp invite ses utilisateurs à accepter sa nouvelle politique de confidentialité ; laquelle est initialement prévue pour entrer en vigueur le 8 février 2021. Mais le document suscite vite l’inquiétude des utilisateurs pour deux raisons. L’une est qu’une fois accepté par l’utilisateur, il accorde le droit à l’entreprise de partager ses données avec sa maison mère, Facebook. L’autre est que l’entreprise a annoncé que l’acceptation du document est indispensable pour pouvoir continuer à utiliser ses services. En d’autres termes, le refus de la mise à jour de ladite politique entraine la suspension ou la perte automatique du compte. C’est surtout cette annonce qui va mettre le feu aux poudres. S’étant aperçus que l’entreprise, forte de ses deux (2) milliards d’utilisateurs, entend se servir de sa position de leader dans le marché des applications de messagerie pour imposer ses nouvelles règles de traitement et de partage des données personnelles, nombre d’utilisateurs vont commencer à se tourner vers des concurrents, notamment Signal[12] et Telegram. Cette migration en grand nombre[13] de ses utilisateurs fait un peu reculer l’entreprise qui, après plusieurs messages d’explication, finit par repousser[14] l’entrée en vigueur de sa politique au 15 mai 2021 et revenir sur la sanction du refus de la mise à jour qui désormais n’entraine plus la perte ou la suspension automatique du compte[15]. C’est précisément dans ce contexte que la FCCPC ouvre son enquête en mai 2021. Celle-ci aboutira le 15 novembre 2023 à la publication d’un rapport d’enquête préliminaire[16]. Après quelques échanges d’écritures et l’échec d’une tentative de règlement transactionnel[17], la FCCPC a fini par rendre sa décision le 18 juillet 2024 imposant à Meta et WhatsApp une amende financière et des mesures correctives[18]. Ces mesures, dont l’essentiel a été confirmé par le Tribunal fédéral de la concurrence et de la protection des consommateurs[19], ont été motivées par le constat que la mise à jour de la politique de confidentialité est intervenue en violation des droits des utilisateurs nigérians qui ont été victimes d’une exploitation excessive et déloyale. La mise à jour de la politique entrait en conflit avec le Nigéria Data Protection Regulation (NDPR) de 2019, la législation sur la protection des données à l’époque[20], (I) et les règles du marché (II).
I.- La violation de la législation sur la protection des données : une exploitation excessive et déloyale des données des utilisateurs nigérians
3. Se fondant sur les articles 17, 124[21] et 127[22] du FCCPA qui interdisent toute pratique déloyale à l’encontre des consommateurs, notamment l’usage de la contrainte ou de la fraude et l’usage de clauses contractuelles inéquitables, injustes ou déraisonnables dans les transactions avec les consommateurs, et aussi de l’article 2 du NDPR, la Commission a relevé que les utilisateurs nigérians ont été privés de leur droit de consentir librement et de façon éclairée au traitement de leurs données personnelles (A), qu’ils ont été contraints d’accepter le traitement de données qui n’étaient pas nécessaires à la fourniture du service de messagerie (B), ainsi que le partage et le transfert non justifiés de leurs données (C) et qu’ils ont été victimes de traitements discriminatoires comparativement aux utilisateurs d’autres régions du monde (D).
A.- La privation du droit au consentement libre et éclairé
4. La Commission a principalement indexé la tactique usitée par WhatsApp pour faire passer sa nouvelle politique de confidentialité. Elle a décidé que celle-ci était contraire aux exigences de l’article 2.3 du NDPR. Cette disposition encadrait le recueil du consentement en tant que base juridique du traitement des données personnelles. L’article 2.3 (2) obligeait notamment le responsable du traitement (RT) à s’assurer que le consentement de la personne concernée soit obtenu sans fraude, coercition ou influence indue. Il est appuyé par l’article 2.3 (2-d) qui ajoutait qu’au moment de déterminer si le consentement a été librement donné, il doit être tenu le plus grand compte du fait que l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire (ou excessif) à l’exécution de ce contrat.
5. Dans les faits, la Commission note à l’issue de ses investigations que les utilisateurs étaient contraints par l’emploi d’astuces diverses à accepter la nouvelle politique de confidentialité : « users were deprived of choice, quality service, and the right to consent freely. Meta Parties’ tactic/method coerced users to accept the Policy »[23]. Particulièrement, lorsqu’un utilisateur refusait la mise à jour de la politique en balayant la notification, les fonctionnalités du service de messagerie commençaient à se dégrader. Tout d’abord, l’utilisateur est inondé de pop-ups avec le seul bouton « mettre à jour » et une flèche de retour pour continuer dans l’application. Ensuite, les pop-ups devenaient plus insistants, commençant à apparaitre plus fréquemment à mesure que l’utilisateur persistait dans le refus. À la fin, il n’était plus laissé à l’utilisateur aucun autre choix que d’accepter la mise à jour, puisque la flèche de retour qui était jusque-là présente a disparu et il ne demeurait que le seul bouton « mettre à jour ». Au-delà de cette question des notifications, on se souvient, et la Commission l’a rappelé, que WhatsApp avait laissé entendre que le refus de la mise à jour entraînerait une perte immédiate du compte. Malgré le rétropédalage relevé plus haut sur ce sujet, la Commission dit avoir constaté que les utilisateurs n’ayant pas accepté la mise à jour ont progressivement subi des limitations des fonctionnalités, notamment l’incapacité de lire et de répondre convenablement à leurs messages. Elle en a conclu que de nombreux utilisateurs ont finalement été contraints d’accepter la politique afin de ne pas perdre davantage de fonctionnalités ou subir davantage de dégradations ou de perturbations ; ce qui contrevient aux dispositions relevées plus haut, les utilisateurs n’ayant pas eu le libre choix d’accepter ou de refuser la nouvelle politique. Leur droit de contrôler l’usage des données qui les concernent et à l’autodétermination est par conséquent atteint.
B.- L’acceptation imposée de la collecte de données non nécessaires à la fourniture du service de messagerie
6. « The Commission observed that certain data collected by Meta Parties were indeed necessary for the efficient provision of the service for which “consent” may be dispensed with; however, some other data collected were not necessary for the provision of WhatsApp services, and as such is excessive, optional, and unnecessary with respect to the service WhatsApp provides, neither was it necessary to comply with any legal/contractual obligation that may warrant a waiver of the user’s right to consent to processing »[24]. Ce point se rapporte à ce qu’il est convenu d’appeler, en droit des données, la question du regroupement des consentements ou du « consentement lié ». À ce sujet, l’article 2.3 (2-b) du NDPR précisait que si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite portant également sur d’autres questions, la demande de consentement est présentée d’une manière qui se distingue clairement des autres questions, sous une forme intelligible et aisément accessible, dans un langage clair et simple et que toute partie d’une telle déclaration qui constitue une violation du règlement ne lie pas la personne concernée. Et l’article 2.3 (2-d) du NDPR sanctionnait à son tour le fait de conditionner l’exécution d’un contrat, y compris la fourniture d’un service, au consentement à un traitement de données personnelles qui n’est pas nécessaire (ou excessif) à l’exécution de ce contrat.
7. Ici, il y a en réalité une confrontation de deux bases juridiques qui reposent toutes sur la volonté de la personne concernée : la nécessité contractuelle (article 2.2 [b] du NDPR) et le consentement libre et rétractable (article 2.2 [a] du NDPR). Pour pouvoir fournir le service de messagerie aux utilisateurs, certaines données sont indispensables (nom, prénoms, coordonnées téléphoniques…). Ces données sont traitées sur le fondement du contrat de service entre l’utilisateur et WhatsApp. Le consentement à la conclusion du contrat de service emporte donc consentement au traitement de ces données indispensable à son exécution. Pour toutes les autres données qui ne sont pas indispensables à la fourniture du service, il faut une autre base juridique qui peut être le consentement libre, exprès et éclairé de l’utilisateur. Les informations fournies par Meta n’étant pas suffisantes pour traiter la question, la Commission a fait recours à des informations mises à sa disposition par la NITDA. L’analyse de ces données fait ressortir un double constat. Certaines données collectées par WhatsApp sont bien nécessaires à la fourniture du service. Pour elles, un consentement autre que la conclusion du contrat n’est donc pas nécessaire. D’autres en revanche ne sont pas nécessaires à la fourniture des services de messagerie. Étant donc facultatives et excessives pour le service fourni, leur traitement ne pouvait avoir lieu que sur le fondement d’une autorisation libre de l’utilisateur ou d’une des bases juridiques régies par le critère de la nécessité. On rappelle qu’outre le consentement et le contrat, un traitement de données était licite suivant l’article 2.2 du NDPR[25] s’il est nécessaire à l’exécution d’une obligation légale du responsable du traitement, à la protection de l’intérêt vital de la personne concernée ou d’un tiers, à l’exécution d’une mission d’intérêt public dont le responsable du traitement est chargé. Or, WhatsApp n’a pas été en mesure de démontrer que les données supplémentaires étaient nécessaires sur le fondement d’une de ces bases juridiques alternatives au consentement. De même, les données mises à disposition par le NITDA ont montré que WhatsApp collectait plus de données que ses concurrents, notamment Signal et Telegram, sans pouvoir démontrer la particularité technique de ses services qui justifierait le besoin de plus de données. Elle n’a, par exemple, pas pu démontrer en quoi les données relatives à la fréquence ou la durée de l’utilisation de l’application étaient nécessaires à la fourniture du service ou au respect d’une obligation légale ou pour une mission d’intérêt public. La réalisation des intérêts légitimes du responsable du traitement n’étant pas, à l’époque, une base juridique dans le NDPR, le seul fondement qui restait était donc le consentement exprès, libre et éclairé des utilisateurs. C’est cette base qui était du reste mise en avant par l’entreprise. Or, comme cela a été relevé plus haut, les utilisateurs ont été contraints à accepter la politique de traitement des données. En plus, WhatsApp avait regroupé les données nécessaires ou requises pour fournir son service avec les données facultatives dans sa nouvelle politique de confidentialité, sans offrir une possibilité aux utilisateurs de refuser la collecte des dernières. Il faut ajouter que l’entreprise collectait même des empreintes digitales et des informations sur les appareils des utilisateurs qu’elle pouvait commercialiser ou partager avec des tiers à des fins de profilage et de marketing.
C.- L’acceptation imposée du partage et du transfert des données vers des pays tiers[26]
8. La Commission note que la politique mise à jour souligne que les données collectées peuvent non seulement être partagées avec Facebook et des tiers, mais aussi utilisées à des fins de profilage et de marketing, alors que, fait préoccupant, contrairement à ce que la politique a prévu en Europe, les utilisateurs nigérians des services WhatsApp ne peuvent ni restreindre ni retirer leur consentement même pour ces finalités de marketing et de profilage[27]. La nouvelle politique a, en effet, supprimé toute référence au droit des utilisateurs de refuser et/ou de retirer leur consentement au partage de leurs données avec des tiers et d’autres sociétés de Facebook, tandis que la politique en vigueur avant la mise à jour comportait une telle référence[28]. Cela impliquait alors que l’acceptation de la nouvelle politique comportait de facto l’autorisation accordée à WhatsApp de partager ses données avec d’autres sociétés Facebook et des tiers affiliés ou associés à Facebook. Or, l’entreprise n’a pas été en mesure de prouver que le partage présentait une nécessité absolue sur d’autres fondements prévus par le NDPR, à savoir, la nécessité contractuelle, l’obligation légale, la mission d’intérêt public et l’intérêt vital. Au surplus, le service fourni par WhatsApp ne comportait pas, en l’état, de volet publicité ciblée. Du reste, a-t-elle ajouté, WhatsApp a toujours fait croire aux utilisateurs que le consentement est la principale base juridique aux traitements de leurs données dans le cadre de l’utilisation de ses services. Le fait qu’elle ait tenté de tout reposer sur l’acceptation de sa politique en est un indice. De la sorte, la seule base juridique qui demeurait était le consentement de la personne concernée : « l’utilisation des données personnelles des personnes concernées pour un profilage bénéficiant au responsable du traitement, et/ou à des fins marketing, doit impérativement — et à tout moment — être soumise à un consentement éclairé et volontaire. De plus, ce consentement, son étendue, sa portée et sa durée doivent toujours rester sous le contrôle de la personne concernée »[29]. Or, le consentement au partage n’a pas été obtenu dans les conditions prévues par le NDPR qui veut qu’il s’agisse d’« une manifestation libre, spécifique, éclairée et sans ambigüité de la volonté de la personne concernée par laquelle celle-ci, par une déclaration ou un acte positif clair, signifie son accord sur le traitement des données personnelles la concernant ». Dans ces conditions, le partage avait lieu en violation du NDPR et des articles 119 (c)[30] et 18 (3) (e)[31] du FCCPA.
9. Les données collectées des Nigérians étaient par ailleurs stockées hors du Nigéria, notamment aux États-Unis sans que WhatsApp soit arrivée à démontrer que cela se faisait dans le respect des dispositions gouvernant les transferts de données à partir du Nigéria, en l’occurrence l’article 2.11[32] se rapportant à la décision d’adéquation. Pour les données transférées aux USA, la Commission rappelle que ce pays ne disposait ni d’une loi fédérale ni d’une autorité de protection. Il ne fournissait donc pas un niveau de protection adéquat des données[33]. Conformément à l’article 2.12[34] du NDPR, les transferts ne pouvaient donc se faire que sur le fondement du consentement libre ou d’une autre base juridique adéquate.
D.- Le traitement discriminatoire des utilisateurs nigérians
10. « WhatsApp’s conduct is even more unscrupulous and discriminatory when comparing Nigerian users to their counterparts in the Europe. As stated earlier, the NDPR considerably reflects the GDPR, however, users/consumers/data subjects in Europe were offered more protection and detailed information about the data points collected, why such data points were collected, what they will be used for, and in the event of a withdrawal of consent, how to effect same without losing functionality »[35]. La Commission part ici du constat, et à juste titre[36], que la protection prévue par le NDPR est pratiquement similaire à celle du RGPD. Cependant, malgré la similarité de la protection assurée par ces deux textes, le FCCPC assure avoir fait le constat que les utilisateurs en Europe se voient offrir, par WhatsApp, davantage de protection et des informations plus détaillées sur les données traitées, les finalités des traitements et le droit de retrait discrétionnaire du consentement. Interpelée sur ces pratiques le 14 mars 2022, l’entreprise s’est contentée d’affirmer que WhatsApp Ireland Limited fournit le service en Europe, tandis que WhatsApp LLC fournit le service aux utilisateurs ailleurs, et que les deux entités tentent de maintenir des opérations mondiales cohérentes. Ainsi, les différences entre les politiques de confidentialité et les conditions de service pour les différentes régions sont une conséquence des différences dans les environnements juridiques et règlementaires plus larges dans lesquels WhatsApp opère. Pour la Commission cette réponse confirme, sans le justifier, le traitement disparate et la discrimination à l’égard des utilisateurs nigérians. Elle relève notamment que malgré la similarité des garanties du RGPD et du NDPR, la politique de WhatsApp nie aux utilisateurs nigérians des droits qu’elle reconnait pourtant aux utilisateurs européens. C’est le cas du droit des Nigérians de décider librement de l’utilisation et du traitement de leurs données, notamment au sujet du droit d’exprimer, de limiter ou de retirer leur consentement ou de s’opposer au traitement de leurs données pour des intérêts légitimes et même de l’intérêt public. Ce qui est la preuve d’une conduite discriminatoire, inéquitable, abusive, manifestement injuste, déraisonnable et donc contraire aux articles 17, 124 et 127 du FCCPA.
11. La Commission relève en outre que dans la politique destinée au Nigéria et aux autres pays hors de l’UE, le terme consentement n’est mentionné qu’une seule fois et ce à propos uniquement du droit de le retirer. De même, suivant ladite politique, le seul cas de retrait possible du consentement à l’utilisation et au partage des données implique la perte du compte de l’utilisateur[37]. Cela correspond à l’approche « à prendre ou à laisser », décidée par un opérateur disposant d’un pouvoir de marché extrêmement important. Au même moment, dans la politique en vigueur en Europe, le mot « consentement » est mentionné dix (10) fois, et il existe une section spécifique de la politique de confidentialité consacrée au consentement de l’utilisateur (« Votre consentement »). De même, « vos droits » apparaît 10 fois et il existe une section spécifique consacrée aux droits des utilisateurs (« Comment exercer vos droits ? »).
12. Par ailleurs, la Commission révèle que WhatsApp avait appliqué des restrictions pour empêcher les Nigérians d’accéder à la politique en vigueur en Europe et que pour y accéder elle a dû elle-même déployer de gros moyens. Cela signifie que la discrimination était intentionnelle[38]. Or, le droit de retirer le consentement ou de contrôler ses choix était reconnu antérieurement. La réponse fournie par l’entreprise n’identifie aucune caractéristique particulière du paysage européen ou nigérian de la protection des données qui justifie la sous protection des utilisateurs de WhatsApp au Nigeria.
II.- La violation des règles du marché : un abus de position dominante[39]
13. Cette question n’a pas été traitée de façon autonome, elle a été envisagée comme une circonstance aggravante des atteintes aux droits des utilisateurs relevées ci-dessus. La Commission a tout d’abord procédé à une délimitation du marché pertinent, identifié comme celui des « services de messagerie instantanée basés sur les contacts » au Nigéria, à l’exclusion d’autres services fournissant plus d’options[40]. Pour caractériser, ensuite, la position dominante de l’entreprise sur le marché, la Commission fonde son raisonnement sur diverses informations dont les parts de marché de l’application[41], les liens de l’entreprise avec un « concurrent » comme Messenger de Facebook, la quantité de données qu’elle collecte par rapport à ses concurrents, ses capacités à entraver l’expansion des concurrents ou encore les caractéristiques de ses services (effet de réseau[42]) qui contraignent les utilisateurs à y demeurer pour garder le contact avec le maximum de leurs proches[43]. Sur l’effet de réseau, la Commission explique qu’à l’interrogation « envisagerez-vous de passer d’une application de messagerie instantanée à une autre ? », 72 % des personnes interrogées ont répondu « NON ». Ayant cherché à comprendre les motivations de cette réponse, il est ressorti des enquêtes que l’une des principales raisons qui dissuade les utilisateurs de changer de plateforme est la large base d’utilisateurs et la familiarité avec l’application de messagerie instantanée de WhatsApp. De plus, à la question « quelle application de messagerie instantanée est la plus préférée », WhatsApp a été le choix d’environ 60 % des personnes interrogées. Une enquête plus approfondie aurait ainsi établi que WhatsApp était principalement préférée en raison de son interface utilisateur et de la possibilité qu’elle offre de rester en contact avec les amis et la famille. En conséquence, une analyse combinée des réponses des utilisateurs de WhatsApp démontre qu’elle n’est pas seulement dominante, mais possède l’effet de réseau qui rend difficile le changement d’utilisateur, conduisant à un effet de verrouillage. Précisant par ailleurs que les données collectées permettent à l’entreprise d’agir sans se soucier de la volonté et des droits des consommateurs, la Commission en conclut, sur le fondement de l’article 70 du FCCPA[44], que WhatsApp jouissait d’une position dominante sur le marché concerné.
14. La Commission a enfin tenté de caractériser des faits pouvant constituer un abus de cette position dominante. De son avis, c’est parce que confortée dans son pouvoir d’agir sans tenir compte de la réaction des consommateurs et des concurrents que WhatsApp a pu, en violation des dispositions du NDPR, imposer sa politique de confidentialité aux utilisateurs en leur refusant le droit de décider librement du traitement de leurs données (dégradation du service, notifications perturbantes, menace de désactivation du compte) ou de retirer leur consentement et en leur imposant la collecte de données non nécessaires à la fourniture du service (ce qui serait un coût excessif imposé aux utilisateurs, étant donné la valeur marchande des informations) ou encore le partage de leurs informations à des tiers. Cela constitue un manquement aux dispositions des articles 71 (c)[45], 72 (2) (a)[46], 72 (2) (d) (iii))[47] et 124 du FCCPA.
Il est peu de dire que de telles décisions sont rares dans les pays africains, au point que beaucoup d’acteurs traitant des données personnelles se sentent impunissables dans ces pays malgré l’existence de législations dédiées à la matière. Il faut féliciter la FCCPC et le NDPC pour le caractère contradictoire et surtout le sérieux de l’enquête qui, alliant droit de la protection des données, droit de la consommation et droit de la concurrence, a pris plus de trois (3) années pour aboutir. La décision consécutive, confirmée, mais toujours contestée, redonne de l’espoir aux utilisateurs des grandes plateformes numériques en Afrique quant au respect de leurs droits. Il ne fait de doute que désormais, les acteurs de traitements de données, petits ou grands, mettront davantage de sérieux sur le sujet pour ne pas ou plus avoir à faire face à de telles sanctions. En définitive, ce que l’on peut espérer est que d’autres autorités de protection emboitent le pas. Et, compte tenu de la similarité des traitements réservés aux citoyens des pays africains par les grandes plateformes, une solution à long terme serait l’union des forces des autorités de protection.
Par Arnaud NADINGA, Doctorant en droit privé et du numérique.
[1] FCCPC, In the matter of a joint investigation into possible violations of the rights of nigerian consumers in the provision of contact-based instant messaging service in Nigeria and enquiries into obnoxious, exploitative, and unscrupulous business practices by Whatsapp Llc and Meta platforms, Inc. under the Federal Competition and Consumer Protection Act, 2018 and the Nigeria Data Protection Regulation, 2019. Final order and notice of the Federal Competition and Consumer Protection Commission pursuant to the joint investigation with Nigeria Data Protection Commission, 18th, jully, 2024, https://fccpc.gov.ng/wp-content/uploads/2024/07/Final-order-FCCPC-Meta-18072024.pdf. La décision a été signée le 18, mais rendue publique le 19 juillet, date que la Commission retient comme celle de la prise de sa décision.
[2] Voy. FCCPC, « Violations: Tribunal Upholds FCCPC’s $220 Million fine Against Meta/WhatsApp », 25 April 2025, https://fccpc.gov.ng/violations-tribunal-upholds-fccpcs-220-million-fine-against-meta-whatsapp/.
[3] Voy. Sahara Reporters, « WhatsApp Vows To Challenge Tribunal Ruling On $220million Fine By Nigerian Government », https://saharareporters.com/2025/04/26/whatsapp-vows-challenge-tribunal-ruling-220million-fine-nigerian-government#google_vignette, consulté le 29 avril 2025. WhatsApp souligne être en désaccord avec le jugement confirmatif parce que l’ordonnance de la FCCPC comprend plusieurs inexactitudes et déforme le fonctionnement de son application et qu’il serait impossible en l’état de fournir son service au Nigeria, ou dans le monde, sans l’infrastructure de sa société mère Meta.
[4] La loi est accessible ici : https://fccpc.gov.ng/wp-content/uploads/2022/07/FCCPA-2018.pdf. Elle est complétée par le Règlement sur les sanction administratives du FCCPC : The Federal Competition and Consumer Protection Commission (Administrative Penalties) Regulations, 2020.
[5] Voy. FCCPC, « Violations : Tribunal Upholds FCCPC’s $220 Million fine Against Meta/WhatsApp », op. cit.
[6] Problématique qu’a du reste très bien soulignée la FCCPC dans une réponse à une question qu’un internaute a posée, sous le post annonçant la décision sur X, au sujet des retombées positives pour les consommateurs : « L’avantage de ce jugement pour les Nigérians, et notamment pour ceux qui utilisent WhatsApp, est que les entreprises, quelle que soit leur taille, doivent respecter leurs droits et se conformer aux lois nationales. Il vise à dissuader toute future violation à leur encontre, à garantir la responsabilité des entreprises et à renforcer les cadres de protection des consommateurs dans le pays. Ces sanctions contribuent à renforcer la surveillance règlementaire et à soutenir le développement de systèmes plus robustes pour protéger les consommateurs, notamment les utilisateurs de WhatsApp, à l’avenir. » (traduction libre) (https://x.com/fccpcnigeria/status/1915850583094837349, 25 april 2025).
[7] S. ZUBOFF, L’âge du capitalisme de surveillance. Le combat pour un avenir humain face aux nouvelles frontières du pouvoir, Traduction par B. FORMENTELLI et A.-S. Homassel, Paris, Zulma, 19, pp. 341-342.
[8] R. IBEH, « $220 m Fine : Judgement Will Affect Our Services In Nigeria – WhatsApp », 26 april. 2025 : https://leadership.ng/220m-fine-judgement-will-affect-our-services-in-nigeria-whatsapp/#google_vignette, consulté le 29 avril 2025.
[9] Tant de manifestations culturelles et d’activités économiques dépendent de ces services. On se souvient encore de la levée de boucliers consécutive à la suspension de Twitter en 2021 par le gouvernement nigérian.
[10] Le Tribunal de la concurrence a débouté Meta et WhatsApp du chef d’appel tenant à la prétendue violation de leur droit à un procès équitable (Voy. FCCPC, « Violations : Tribunal Upholds FCCPC’s $220 Million fine Against Meta/WhatsApp », 25 April 2025). Le rapport d’enquête montre que la procédure a impliqué les services et les conseils de Meta qui ont pu contester et faire valoir leur position depuis le 10 juin 2021 sur les résultats des enquêtes de la FCCPC. La procédure a concerné principalement WhatsApp, mais Meta y a été aussi impliquée en raison des liens entre les deux.
[11] La NDPC a été créée en février 2022 sous la dénomination première de Nigeria Data Protection Bureau. Elle reçoit, à partir de cette date, la mission de contrôler le respect de la législation sur la protection des données personnelles (le Nigeria Data Protection Regulation ou NDPR, 2019) qui était jusque-là une des missions du National Information Technology Development Agency (NITDA). Les rapports d’enquête rapportent que cette dernière a apporté un concours considérable à la FCCPC durant la procédure.
[12] Le 7 janvier 2021, via un tweet, Elon Musk, le patron de Tesla invitait ses abonnés à utiliser signal qui est alors considérée comme l’une des applications de messagerie la plus sécurisée grâce notamment à sa capacité de chiffrer « de bout en bout » les messages et à la faible quantité de données qu’elle collecte.
[13] Les départs vers Signal ont été si importants que l’application de messagerie est tombée en panne. Une panne que l’entreprise a annoncée via un tweet en date du 15 janvier 2021.
[14] WhatsApp, Plus de temps pour notre récente mise à jour, 15 janvier 2021.
[15] Ibid.
[16] Pour le rapport complet, voy. FCCPC, In the matter of investigation into possible violations of the rights of Nigerian consumers in the provision of contact-based instant messaging service in Nigeria and enquiries into obnoxious, exploitative, and unscrupulous business practices by WhatsApp LLC and META PLATFORMS, INC. Under the federal competition and consumer protection act, 2018. Investigative report of the federal competition and consumer protection commission and the Nigeria data protection commission, 13 November 2023, accessible ici: https://fccpc.gov.ng/wp-content/uploads/2024/07/Investigative-Report-FCCPC-WhatsApp-13.11.23.pdf. Pour le resumé, Voy. FCCPC, In the matter of investigation into possible violations of the rights of Nigerian consumers in the provision of contact-based instant messaging service in nigeria and enquiries into obnoxious, exploitative, and unscrupulous business practices by WhatsApp LLC and META PLATFORMS, INC. Under the federal competition and consumer protection Act, 2018. Executive summary, op. cit.
[17] Ce rapport d’enquête, accompagné d’autres documents ainsi qu’une invitation à conclure, a été communiqué à Meta. En réponse, le 1er mars 2024, celle-ci a sollicité un règlement transactionnel en prenant l’engagement de coopérer avec la Commission pour identifier et mettre en œuvre des solutions pratiques pour répondre à ses préoccupations. Néanmoins, les propositions faites en ce sens les 4 et 19 avril 2024 n’ont pas rencontré l’assentiment de la Commission qui a fini par prononcer la décision analysée.
[18] Les conclusions de l’enquête ont déterminé la Commission à infliger à WhatsApp et Meta une amende de deux-cent-vingt-millions (220 000 000) de dollars américains à payer 60 jours au plus tard à compter de la date de la décision. Elles ont également été condamnées à rembourser les frais de l’enquête pour un montant de trente-cinq-mille (35 000) dollars américains à verser 60 jours au plus tard à compter de la date de la décision conformément à l’article 23-2, (f) du FCCPA. S’agissant des mesures d’exécution, Meta et WhatsApp devront : 1.- Rétablir immédiatement les droits des utilisateurs nigérians à l’autodétermination et au contrôle de l’utilisation, du traitement, du partage ou du transfert de leurs données, ainsi que leur droit à un choix éclairé et à des transactions équitables, en leur offrant la possibilité de limiter et de retirer leur consentement sans perdre des fonctionnalités du service ou leur accès à l’application. 2.- Veiller à ce que la politique de confidentialité soit conforme aux législations applicables en matière de protection des données au Nigéria, notamment en s’assurant que les personnes concernées consentent librement à toute politique de confidentialité, en mettant à jour la politique de confidentialité dans un format intelligible, qui donne aux utilisateurs nigérians la possibilité d’exprimer pleinement leurs droits en ce qui concerne chaque de données collectée, traitée, transférée ou partagée. 3.- Cesser immédiatement et sans délai le partage des informations des utilisateurs de WhatsApp avec d’autres sociétés de Facebook et des tiers, jusqu’à ce que les utilisateurs aient activement et librement consenti à chacune des composantes des libertés que Meta et ses filiales ont l’intention d’exercer en ce qui concerne les informations des personnes concernées. La nouvelle politique de confidentialité à proposer devra être approuvée par la NDPC conformément à la nouvelle loi nigériane sur la protection des données (le NDPA) et à tout autre aspect souligné par la NDPC, et par la FCCPC conformément au FCCPA pour les questions qui sont de son ressort. L’approbation de la FCCPC sera conditionnée à la présentation d’une note écrite de la NDPC attestant que la politique est conforme à la législation sur la protection des données. 4.- Revenir aux pratiques de partage des données adoptées en 2016. En outre, elles sont tenues de mettre en place un écran d’acceptation permettant aux utilisateurs de consentir ou de refuser le partage de données à caractère personnel supplémentaires avec des tiers affiliés à WhatsApp. Cela devra également être approuvé à l’avance par la FCCPC et la NDPC. 5.- Cesser immédiatement et sans délai de lier et de transférer des données des services de WhatsApp à ceux de Facebook et à d’autres services de tiers sans le consentement exprès et librement obtenu des personnes concernées. 6.- Fournir à la FCCPC des garanties écrites et satisfaisantes selon lesquelles elles s’abstiendront de toute violation du FCCPA, conformément à l’article 153[18] de ce texte. 7.- Mettre en œuvre toutes les mesures correctives ci-dessus qu’elles communiqueront à la FCCPC 15 jours au plus tard à compter de la date de la décision. De même, elles doivent faire figurer ces informations sur le site web de WhatsApp et les communiquer aux utilisateurs nigérians dans un format accessible ».
[19] Le Tribunal a déclaré que le numéro 7 de la décision de la FCCPC manquait de base légale. Voy. FCCPC, « Violations : Tribunal Upholds FCCPC’s $220 Million fine Against Meta/WhatsApp », op. cit.
[20] La procédure a reposé principalement sur la loi portant protection de la concurrence et des consommateurs (FCCPA) et le Règlement sur la protection des données à caractère personnel (le NDPR de 2019 qui est accessible ici : https://nitda.gov.ng/wp-content/uploads/2020/11/NigeriaDataProtectionRegulation11.pdf). Ce dernier Règlement, très proche du RGPD, a été remplacé en 2023 par le Nigeria Data Protection Act (NDPA qui est accessible à cette adresse : https://ndpc.gov.ng/Files/Nigeria_Data_Protection_Act_2023.pdf). Le FCCPA et le NDPR ont un champ d’application très large, pour prendre en compte les services de WhatsApp. Le premier s’applique à toutes les activités commerciales réalisées au Nigéria ou qui produisent des effets sur ce territoire et le second à tous les traitements de données personnelles concernant des Nigérians résidents ou non au Nigéria. L’enquête préliminaire a analysé à la fois le contenu de la politique et les procédés employés par WhatsApp pour la faire accepter.
[21] “1) An undertaking or any person acting on its behalf shall not use physical force, coercion, undue influence or pressure, harassment, unfair tactics or any other similar conduct against any person in connection with – (a) marketing of any goods or services; (b) supply of goods or services to a consumer; (c) negotiation, conclusion, execution or enforcement of an agreement to supply any goods or services to a consumer; (d) demand for, or collection of, payment for goods or services by a consumer; or (e) the conduct of a legitimate business transaction”.
[22] Article 127: “(1) An undertaking shall not – (a) offer to supply, supply, or enter into an agreement to supply, any goods or services at a price that is manifestly unfair, unreasonable or unjust, or on terms that are unfair, unreasonable or unjust; (b) market any goods or services, or negotiate: enter into or administer a transaction or an agreement for the supply of any goods or services, in a manner that is unfair, unreasonable or unjust; or (c) require a consumer, or other person to whom any goods or services are supplied at the direction of the consumer, to waive any rights, assume any obligation. or waive any liability of the undertaking, on terms that are unfair, unreasonable or unjust, or impose any term as a condition of entering into a transaction. (2) Without limiting the generality of the provision of subsection (I), a transaction or agreement, a term or condition of a transaction or agreement, or a notice to which a term or condition is purportedly subject is unfair, unreasonable or unjust if – (a) it is excessively one-sided in favour of any person other than the consumer or other person to whom goods or services arc to be supplied; (b) the terms of the transaction or agreement arc so adverse to the consumer as to be inequitable; (c) the consumer relied upon a false, misleading or deceptive representation or a statement of opinion provided by or on behalf of the undertaking that supplied the goods or services concerned, to the detriment of the consumer; or (d) the fact, nature and effect of that term, condition or notice was not drawn to the attention of the consumer”.
[23] FCCPC, In the matter of investigation into possible violations of the rights of Nigerian consumers in the provision of contact-based instant messaging service in Nigeria and enquiries into obnoxious, exploitative, and unscrupulous business practices by WhatsApp LLC and META PLATFORMS, INC. Under the federal competition and consumer protection act, 2018. Investigative report of the federal competition and consumer protection commission and the Nigeria data protection commission, op. cit., pt. 5.2.
[24] FCCPC, In the matter of investigation into possible violations of the rights of Nigerian consumers in the provision of contact-based instant messaging service in Nigeria and enquiries into obnoxious, exploitative, and unscrupulous business practices by WhatsApp LLC and META PLATFORMS, INC. Under the federal competition and consumer protection act, 2018. Investigative report of the federal competition and consumer protection commission and the Nigeria data protection commission, op. cit., pt. 5.2.3.7.
[25] “Without prejudice to the principles set out in this Regulation, processing shall be lawful if at least one of the following applies: a) the Data Subject has given consent to the processing of his or her Personal Data for one or more specific purposes; b) processing is necessary for the performance of a contract to which the Data Subject is party or in order to take steps at the request of the Data Subject prior to entering into a contract; c) processing is necessary for compliance with a legal obligation to which the Controller is subject; d) processing is necessary in order to protect the vital interests of the Data Subject or of another natural person, and e) processing is necessary for the performance of a task carried out in the public interest or in exercise of official public mandate vested in the controller”.
[26] FCCPC, In the matter of investigation into possible violations of the rights of Nigerian consumers in the provision of contact-based instant messaging service in Nigeria and enquiries into obnoxious, exploitative, and unscrupulous business practices by WhatsApp LLC and META PLATFORMS, INC. Under the federal competition and consumer protection act, 2018. Investigative report of the federal competition and consumer protection commission and the Nigeria data protection commission, op. cit., pt. 5.3.
[27] Ibid., pt. 5.3.15.
[28] FCCPC, In the matter of investigation into possible violations of the rights of Nigerian consumers in the provision of contact-based instant messaging service in Nigeria and enquiries into obnoxious, exploitative, and unscrupulous business practices by WhatsApp LLC and META PLATFORMS, INC. Under the federal competition and consumer protection act, 2018. Investigative report of the federal competition and consumer protection commission and the Nigeria data protection commission, op. cit., pt. 5.2.4.6.
[29] Ibid.
[30] “An undertaking shall not require, as a condition of offering to supply or supplying any goods or services, or as a condition of entering into an agreement or transaction, that a consumer shall: […] (c) agree to purchase any particular goods or services from a designated third party, unless the undertaking can demonstrate that the convenience to the consumer in having those goods or services bundled outweighs the limitation of the consumer’s right to choice, or that the bundling of those goods or services results in economic benefit for the consumer”.
[31] “For the purpose of performing its functions under this Act, the Commission may […] prohibit the attachment of extraneous conditions to any transaction as it may deem appropriate”.
[32] “Any transfer of Personal Data which is undergoing processing or is intended for processing after transfer to a foreign country or to an international organisation shall take place subject to the other provisions of this Regulation and the supervision of the Honourable Attorney General of the Federation (HAGF). Accordingly: a) a transfer of Personal Data to a foreign country or an international organization may take place where the Agency has decided that the foreign country, territory or one or more specified sectors within that foreign country, or the international organization in question ensures an adequate level of protection […]”.
[33] FCCPC, In the matter of investigation into possible violations of the rights of Nigerian consumers in the provision of contact-based instant messaging service in Nigeria and enquiries into obnoxious, exploitative, and unscrupulous business practices by WhatsApp LLC and META PLATFORMS, INC. Under the federal competition and consumer protection act, 2018. Investigative report of the federal competition and consumer protection commission and the Nigeria data protection commission, op. cit., pt. 5.3.28.
[34] “In the absence of any decision by The Agency or HAGF as to the adequacy of safeguards in a foreign country, a transfer or a set of transfers of Personal Data to a foreign country or an international organisation shall take place only on one of the following conditions: a) that the Data Subject has explicitly consented to the proposed transfer, after having been informed of the possible risks of such transfers; b) the transfer is necessary for the performance of a contract between the Data Subject and the Controller or the implementation of pre- contractual measures taken at the Data Subject’s request; c) the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the Data Subject between the Controller and another natural or legal person; d) the transfer is necessary for important reasons of public interest; e) the transfer is necessary for the establishment, exercise or defence of legal claims; and f) the transfer is necessary in order to protect the vital interests of the Data Subject or of other persons, where the Data Subject is physically or legally incapable of giving consent […]”.
[35] FCCPC, In the matter of investigation into possible violations of the rights of Nigerian consumers in the provision of contact-based instant messaging service in Nigeria and enquiries into obnoxious, exploitative, and unscrupulous business practices by WhatsApp LLC and META PLATFORMS, INC. Under the federal competition and consumer protection act, 2018. Investigative report of the federal competition and consumer protection commission and the Nigeria data protection commission, op. cit., pt. 5.2.3.10.
[36] Il suffit de lire les deux textes pour s’en convaincre. Le rapprochement est encore plus évident avec le NDPA de 2023.
[37] La disposition citée par la Commission est libellée ainsi qu’il suit : « « “You can delete your WhatsApp account at any time (including if you want to revoke your consent to our use of your information pursuant to applicable law) using our in-app delete my account feature ».
[38] Cette question des pratiques discriminatoires des grandes entreprises du numérique à l’égard des pays du Sud, particulièrement africains, est préoccupante. Tantôt le service fourni n’affiche aucune politique de confidentialité, tantôt il en affiche, mais avec moins de garanties protectrices pour les consommateurs. L’actualité récente concerne l’utilisation par Meta, sur le fondement de ses intérêts légitimes, de certaines données de ses utilisateurs pour entrainer son IA. Alors qu’elle offre aux personnes résidents en Europe un droit d’opposition et les moyens de l’exercer, les personnes résidentes en Afrique attendent encore ces possibilités. Voy. à ce sujet, Africa Data Protection, « Meta et l’IA : l’Afrique sacrifiée sur l’autel de la protection des données personnelles ? », 28 avril 2025, https://blog.africadataprotection.org/blog/2025/04/28/meta-et-lia-lafrique-sacrifiee-sur-lautel-de-la-protection-des-donnees-personnelles/.
[39] FCCPC, In the matter of investigation into possible violations of the rights of Nigerian consumers in the provision of contact-based instant messaging service in Nigeria and enquiries into obnoxious, exploitative, and unscrupulous business practices by WhatsApp LLC and META PLATFORMS, INC. Under the federal competition and consumer protection act, 2018. Investigative report of the federal competition and consumer protection commission and the Nigeria data protection commission, op. cit., pt. 5.4.
[40] Ces options supplémentaires comprennent la publicité ciblée, les options likes ou d’abonnement qui se retrouvent par exemple dans les services de TikTok, Twitter, Instagram, Snapchat…
[41] La Commission relève que les principaux acteurs de ce marché sont WhatsApp, Facebook et Telegram avec des parts respectives de 65 %, 28 % et 1 %. Elle mentionne également les données fournies par une étude de marché indépendante, qui a révélé que WhatsApp est le service de messagerie instantanée le plus utilisé dans les 36 États du Nigéria et dans la capitale fédérale. WhatsApp était notamment utilisé par 65 % des utilisateurs nigérians. La plateforme la plus proche en termes de nombre d’utilisateurs selon l’enquête est Facebook Messenger, utilisée par seulement 28 % des utilisateurs. Les deux applications étant contrôlées par la même entité qu’est Meta, la Commission leur attribue un marché de 93 %.
[42] La Commission explique qu’à l’interrogation « envisagerez-vous de passer d’une application de messagerie instantanée à une autre ? », 72 % des personnes interrogées ont répondu « NON ». Ayant cherché à comprendre les motivations de cette réponse, il est ressorti des enquêtes que l’une des principales raisons qui dissuade les utilisateurs de changer de plateforme est la large base d’utilisateurs et la familiarité avec l’application de messagerie instantanée de WhatsApp. De plus, à la question « quelle application de messagerie instantanée est la plus préférée », WhatsApp a été le choix d’environ 60 % des personnes interrogées. Une enquête plus approfondie aurait ainsi établi que WhatsApp était principalement préférée en raison de son interface utilisateur et de la possibilité qu’elle offre de rester en contact avec les amis et la famille. En conséquence, une analyse combinée des réponses des utilisateurs de WhatsApp démontre que WhatsApp n’est pas seulement dominant, mais possède l’effet de réseau qui rend difficile le changement d’utilisateur, conduisant à un effet de verrouillage.
[43] Il n’était pas garanti pour un utilisateur qu’en quittant WhatsApp, il pourra retrouver tous ses contacts dans les plateformes concurrentes.
[44] “1) For the purpose of this Act, an undertaking is considered to be in a dominant position if it is able to act without taking account of the reaction of its customers, consumers or competitors. (2) A dominant position in a relevant market exists where an undertaking enjoys a position of economic strength enabling it to prevent effective competition being maintained on the relevant market and having the power to behave to an appreciable extent independently of its competitors, customers and ultimately consumers”.
[45] “For the purpose of delineating the relevant market under this Act, the criteria that shall be taken into account include the – […] suppliers to which consumers may turn to in the short term, if the abuse of dominance leads to a significant increase in price or to other detrimental effect upon the consumer”.
[46] “(2) For the purposes of this Act, an abuse of dominant position occurs where one or more undertakings in a dominant position – (a) charge an excessive price to the detriment of consumers”.
[47] “For the purposes of this Act, an abuse of dominant position occurs where one or more undertakings in a dominant position […] engage in any of the following exclusionary acts, unless the firm concerned can show technological efficiency and other pro-competitive gains which outweigh the anti-competitive effect of its act_ […] (iii) selling goods or services on condition that the buyer purchases separate goods or services unrelated to the object of a contract, or forcing a buyer lo accept a condition unrelated to object of a contract”.