Netflix, Spotify & YouTube : Huit plaintes stratégiques déposées sur le "droit d'accès

18 Jan 2019

Liens rapides :

Droit d'accès. En vertu du nouveau règlement général sur la protection des données ("GDPR"), les utilisateurs bénéficient d'un "droit d'accès". Les utilisateurs ont le droit d'obtenir une copie de toutes les données brutes qu'une entreprise détient sur l'utilisateur, ainsi que des informations supplémentaires sur les sources et les destinataires des données, la finalité du traitement des données ou des informations sur les pays dans lesquels les données sont stockées et la durée de leur conservation. Ce "droit d'accès" est inscrit à l'article 15 du RDP et à l'article 8, paragraphe 2, de la Charte des droits fondamentaux.

Huit violations sur huit. noyb (une organisation européenne à but non lucratif pour l'application de la loi sur la protection de la vie privée) a mis à l'épreuve la loi et huit services de streaming en ligne de huit pays - mais aucun service n'a pleinement respecté la loi. Dans huit cas sur huit, noyb a déposé aujourd'hui une plainte officielle auprès des autorités compétentes en matière de protection des données. Tous les principaux fournisseurs ont même commis une "violation structurelle" de la loi, déclare Max Schrems, directeur de la noyb.

Violations structurelles. Alors que de nombreuses petites entreprises répondent manuellement aux demandes de GDPR, des services plus importants comme YouTube, Apple, Spotify ou Amazon ont mis en place des systèmes automatisés qui prétendent fournir les informations pertinentes. Lors des tests, aucun de ces systèmes n'a fourni à l'utilisateur toutes les données pertinentes.

Max Schrems, directeur de l'organisation noyb : "De nombreux services mettent en place des systèmes automatisés pour répondre aux demandes d'accès, mais souvent ils ne fournissent même pas à distance les données auxquelles chaque utilisateur a droit. Dans la plupart des cas, les utilisateurs ne reçoivent que les données brutes, mais, par exemple, aucune information sur les personnes à qui ces données ont été communiquées. Cela conduit à des violations structurelles des droits des utilisateurs, car ces systèmes sont conçus pour retenir les informations pertinentes"

DAZN et SoundCloud ont simplement ignoré la demande. Alors que tous les autres services de streaming ont apporté une certaine réponse à la demande des utilisateurs d'accéder au moins à leurs données, le service britannique de streaming sportif "DAZN" et le service allemand de streaming musical SoundCloud n'ont même pas répondu.

Informations manquantes et données brutes incompréhensibles. Les autres services de streaming ont fourni au moins quelques données brutes en réponse aux demandes d'accès. Toutefois, ces réponses manquaient d'informations de base, telles que les sources et les destinataires des données ou la durée de conservation effective des données ("période de conservation"). Dans de nombreux cas, les données brutes ont été fournies dans des formats cryptiques qui rendaient l'information extrêmement difficile, voire impossible, à comprendre pour un utilisateur moyen. Dans de nombreux cas, certains types de données brutes étaient également absents.

10 plaintes déposées aujourd'hui. noyb a déposé des plaintes auprès de l'autorité autrichienne de protection des données (dsb.gv.at) contre 8 entreprises, au nom de 10 utilisateurs aujourd'hui. L'autorité autrichienne devra coopérer avec les autorités compétentes au niveau de l'établissement principal de chaque service de streaming. Comme GDPR prévoit une pénalité de 20 millions d'euros, soit 4 % du chiffre d'affaires mondial, la pénalité maximale théorique pour les 10 plaintes pourrait s'élever à 18,8 milliards d'euros.

La transparence est une pierre angulaire. Le droit d'accès est une pierre angulaire du cadre de protection des données. Ce n'est que lorsque les utilisateurs peuvent avoir une idée de la manière dont leurs données sont stockées ou partagées et des raisons pour lesquelles elles le sont, qu'ils peuvent de manière réaliste découvrir les violations de la GDPR et par conséquent prendre des mesures.

Tout le monde peut faire une demande. Chaque utilisateur a le droit d'obtenir une copie de ses données et de recevoir des informations supplémentaires. En général, les utilisateurs peuvent remplir un formulaire ou envoyer un courriel à la plupart des services. noyb a rassemblé les liens et les formulaires des principaux services de streaming sur sa page web pour que chacun puisse les utiliser.

nb obtient la confidentialité sur son téléphone. L'article 80 de la GDPR prévoit que les personnes concernées peuvent être représentées par une association à but non lucratif, car les utilisateurs individuels ne sont généralement pas en mesure de déposer les plaintes légales pertinentes. Dans ce cas, les dix utilisateurs sont représentés par l'association sans but lucratif noyb. Schrems : "noyb a pour but de faire appliquer raisonnablement la nouvelle loi, de sorte que les avantages parviennent effectivement aux utilisateurs"

Le financement est toujours en cours. Jusqu'à présent, noyb.eu est financé par plus de 3 100 membres et sponsors individuels (par exemple, StartPage.com ou la ville de Vienne). Afin de financer la lutte contre les violations de données sur le long terme, l'association recherche d'autres membres de soutien. Jusqu'à présent, le budget pour 2018 n'est financé qu'à 75 %. Schrems : "En 1995, l'UE a déjà adopté des lois sur la protection des données, mais elles ont tout simplement été ignorées par les grands acteurs. Nous devons maintenant veiller à ce que cela ne se reproduise plus avec GDPR - jusqu'à présent, de nombreuses entreprises ne semblent se conformer qu'en apparence"

Uploads

MakePrivacyReal

Notre travail est rendu possible par plus de 3 100 membres bienfaiteurs - et peut-être vous ?