Logo PCS Avocat

09 72 58 77 43

Sur rendez-vous

RGPD : Netflix, Spotify, YouTube et autres plateformes de streaming poursuivies

21 Jan 2019
RGPD : Netflix, Spotify, YouTube et autres plateformes de streaming poursuivies en Europe

RGPD : Netflix, Spotify, YouTube et autres plateformes de streaming poursuivies en Europe

 

Plateformes de streaming poursuivies pour manquement aux RGPD

Après une première action déclenchée à l’occasion de l’entrée en vigueur du RGPD contre les GAFA, c’est maintenant au tour des entreprises proposant des plateformes de streaming d’être poursuivis pour des manquements à la protection des données.

« NOYB » – None of your business – est une organisation non gouvernementale créée à l’initiative de Max Schrems destinée à la lutte pour la protection des données personnelles. Considérablement renforcée depuis l’entrée en vigueur du RGPD, l’ONG avait déposé en mai 2018 quatre plaintes pour « consentement forcé » contre Google, Instagram, WhatsApp et Facebook.

Le 19 janvier dernier, cette organisation de défense des droits des internautes a indiqué avoir déposé plainte en Autriche contre huit plateformes de streaming dont Netflix, YouTube, Amazon Prime, SoundCloud, Apple Music, DAZN, Flimmit et Spotify auprès de l’autorité autrichienne de protection des données.

Le droit d’accès et de contrôle des utilisateurs

Sont en cause l’absence de garanties auprès des internautes de l’accès aux données personnelles conservées par ces entreprises et le manque de transparence quant à leur utilisation. Plus spécifiquement, c’est le respect de l’article 15 du RGPD qui est en cause. Cet article porte sur le droit d’accès de la personne de ses données personnelles notamment la confirmation que des données personnelles le concernant sont ou ne sont pas traitées et, le cas échéant, d’y accéder.

Max Schrems, directeur de noyb : “De nombreux services mettent en place des systèmes automatisés pour répondre aux demandes d’accès qui ne fournissent souvent même pas les données auxquelles chaque utilisateur a droit. Dans la plupart des cas, les personnes concernées n’ont obtenu que des données brutes sans, par exemple, recevoir une quelconque information quant à l’identité des personnes avec qui ces données ont été partagées. Cela conduit à des violations structurelles des droits des utilisateurs car ces systèmes sont conçus pour cacher les informations pertinentes”.

Si la société Flimmit a proposé des réponses jugées relativement satisfaisantes par NOYB, SoundCloud et DAZN n’ont pas répondu aux requêtes envoyées. Les autres ont envoyé quant à elles des informations jugées insuffisantes au regard des obligations posées par la nouvelle réglementation européenne.

Des amendes potentielles très lourdes pour Dazn et Spotify

DAZN et Soundcloud présentent un chiffre d’affaire mondial en deçà des minima du RGPD les exposant à un plafond de sanction de 20 millions d’euros. Pour Amazon Prime, Apple Music, Netflix, Spotify et YouTube, les amendes pourraient être beaucoup plus sévères.

Retrouvez ci-joint le tableau récapitulatif des plaintes et montants des amendes.

Début septembre 2020, la procédure a débouché sur une première décision aux effets mitigés. Si l’affaire a été rejeté sur le fond par

Les autres intéressés ont vu des effets variés quant à l’issue des plaintes : DAZN est renvoyé devant la tribunal administratif fédéral autrichien suite à une carence de décision de l’autorité de protection des données. YouTube a lancé une contestation encore en cours sur l’autorité de protection compétente; les autres procédures ne semblent pas avoir avancé ou abouti.

Contrôle du respect du RGPD

En 2020, l’association Noyb a poursuivi son action en contactant une trentaine d’entreprises pour leur demander comment elles abordaient les transferts de données, suite à la décision européenne qui a invalidé le Privacy Shield: « Les réponses allaient d’explications détaillées, à des aveux que ces entreprises n’avaient aucune idée de ce qui se passait, à des dénégations scandaleusement agressives de la loi », résume Max Schrems,

Depuis plusieurs de ces services ont fait l’objet d’attaques informatiques ou d’autres dénonciation pour manquements aux obligations en matière de protection des données au regard du RGPD.

En novembre 2020, la plateforme spotify a ainsi fait l’objet d’une attaque informatique aboutissant au vol de plus de 400 000 identifiants de comptes. Les hackers ont exploité ces données pour alimenter un service de streaming pirate et/ou procéder à des formes de streaming boosting, pratique consistant à gonflier artificiellement les lectures de titres de certains artistes.