noyb Blog | Actualités

Suite à de multiples violations du droit d’accès des utilisateurs à leurs données, noyb dépose plainte contre Netflix, Amazon, Spotify, Youtube et Apple

Jan 18, 2019

Une enquête menée par noyb montre que la plupart des services de vidéo et de musique à la demande ont commis de nombreuses violations du droit d’accès.

Quick Links:

Press Releases (PDF) & Free Graphics, Documents and Pictures (ZIP)

Online-Guide: How to make an access request? (Link)

Copy of complaints (Link)

Droit d’accès. En vertu du Règlement Général pour la Protection des Données (RGPD), les utilisateurs de services de streaming bénéficient d’un « droit d’accès » en vertu duquel ils peuvent obtenir une copie de toutes les données à caractère personnel les concernant détenues par une entreprise ainsi que des informations complémentaires, telles que l’origine de ces données, la finalité de leur traitement, ou encore des renseignements concernant leur emplacement géographique et la durée de leur stockage.

Ce « droit d’accès » est consacré par l’article 15 du RGPD ainsi que l’article 8, paragraphe 2, de la Charte des droits fondamentaux de l’Union Européenne.

Huit violations sur huit. noyb (une organisation européenne à but non lucratif oeuvrant pour le respect de la vie privée) a mis à l’épreuve huit services de vidéo et de musique à la demande établis dans huit pays. Aucun ne se conforme à la réglementation. Aujourd’hui, dans huit cas sur huit, noyb a formellement déposé plainte auprès des autorités compétentes. Selon Max Schrems, directeur de noyb, chaque service s’est engagé dans des « violations structurelles » de la loi.

Violations structurelles. Alors que de nombreuses petites et moyennes entreprises répondent manuellement aux demandes d’information RGPD, des services plus importants comme YouTube, Apple, Spotify ou Amazon Prime ont mis en place des systèmes automatisés. Lors de nos essais, aucun de ces systèmes n’a fourni à l’utilisateur toutes les informations réclamées.

Max Schrems, directeur de noyb : “De nombreux services mettent en place des systèmes automatisés pour répondre aux demandes d’accès qui ne fournissent souvent même pas les données auxquelles chaque utilisateur a droit. Dans la plupart des cas, les personnes concernées n’ont obtenu que des données brutes sans, par exemple, recevoir une quelconque information quant à l’identité des personnes avec qui ces données ont été partagées. Cela conduit à des violations structurelles des droits des utilisateurs car ces systèmes sont conçus pour cacher les informations pertinentes”.

DAZN et SoundCloud ont tout simplement ignoré les demandes d’accès. Alors que tous les autres services de streaming ont fourni un semblant de réponse à la demande des utilisateurs d’accéder à leurs données, le service de streaming sportif britannique « DAZN » ainsi que le service de musique à la demande allemand SoundCloud n’ont même pas daigné répondre aux demandes de leurs utilisateurs.

Informations manquantes & Sets de données incompréhensibles. Les autres services de streaming ont fourni au moins certaines données en réponse aux demandes d’accès. Toutefois, les réponses apportées manquaient de renseignements de base, tels que les sources et les destinataires des données ou la durée de conservation effective de celles-ci (« durée de conservation »). Très souvent, les données ont été fournies dans des formats extrêmement rendant l’information difficile, voire impossible à comprendre pour un utilisateur moyen. Entre autres, certaines catégories de données réclamées n’ont pas été communiquées.

10 plaintes déposées aujourd’hui. noyb a déposé plainte aujourd’hui auprès de l’autorité autrichienne de protection des données (dsb.gv.at) contre 8 entreprises au nom de plusieurs utilisateurs. L’autorité autrichienne devra coopérer avec les autorités compétentes du lieu de l’établissement principal de chaque entreprise visée. Comme le RGPD prévoit pour une telle violation une amende maximale du plus haut montant entre 20 millions d’euros ou 4% du chiffre  d’affaires annuel mondial, les dix plaintes que nous avons déposées pourraient donner lieu à une amende maximale cumulée pouvant atteindre jusque 18,8 milliards d’euros.

Le principe de transparence est la pierre angulaire du RGPD. Le droit d’accès constitue l’une des priorités du règlement général de protection des données. Ce n’est que lorsque les utilisateurs peuvent se faire une idée de la manière dont leurs données sont stockées ou partagées et des raisons pour lesquelles elles le sont qu’ils peuvent concrètement se render compte de l’existence de violations du RGPD et agir en conséquence.

Tout le monde peut faire une demande d’accès. Chaque utilisateur a le droit d’obtenir une copie de ses données et de recevoir des informations complémentaires. Généralement, les utilisateurs peuvent remplir un formulaire ou envoyer un courriel à la plupart des services en ligne. noyb a rassemblé les liens et les formulaires pour les principaux services de musique et de vidéo à la demande sur son site internet afin chacun puisse les utiliser.

Se faire représenter par noyb. L’article 80 du RGPD prévoit que les personnes concernées peuvent se faire représenter par une association sans but lucratif, les utilisateurs n’étant généralement pas en mesure de déposer des plaintes pertinentes. Dans le cadre de ces plaintes, les huit utilisateurs sont représentés par l’association noyb. Pour Schrems: “

Article 80 of the GDPR foresees that data subjects can be represented by a non-profit association, as individual users are usually unable to file the relevant legal complaints. In this case all ten users are represented by the non-profit organization noyb. Schrems: “noyb a pour but de faire appliquer le RGPD, afin que les nouveaux acquis parviennent effectivement aux utilisateurs. »

Funding still on the way. So far, noyb.eu is funded by over 3,100 individual supporting members and sponsors (for example, StartPage.com or the City of Vienna). In order to finance the fight against data breaches in the long term, the association is looking for more supporting members. So far, the budget for 2018 is only 75% funded. Schrems: « In 1995 the EU already passed data protection laws, but they were simply ignored by the big players. We now have to make sure this does not happen again with GDPR – so far many only seem to be superficially compliant.”

Notre financement est toujours en cours. Jusqu’à présent, noyb.eu est financé par plus de 3100 membres et sponsors individuels (comme par exemple StartPage.com ou la ville de Vienne). Afin de financer à long terme la lutte contre les atteintes à la protection des données à caractère personnel, l’association est à la recherche de nouveaux adhérents. Jusqu’à présent, le budget pour 2018 n’est financé qu’à 75 %. Schrems : « En 1995, l’UE avait déjà adopté des lois sur la protection des données, mais elles ont tout simplement été ignorées par les plus grands acteurs du numérique. Nous devons maintenant veiller à ce que cela ne se reproduise pas avec le RGPD – jusqu’à présent, nombre de ces acteurs ne semblent s’être conformés à la réglementation que de façon superficielle. »

Table of all complaints

  Response Raw Data Data was Intelligible Background Information1 Delay of Response Company Location Maximum Penalty³ Complaint
Amazon Prime Download² Luxembourg € 6.31 Billion Link (PDF)
Apple Music Download² Ireland € 8.02 Billion Link (PDF)
DAZN Never United Kingdom € 20 Million Link (PDF)
Flimmit 30 days Austria Not requested Link (PDF)
Netflix 27-30 days The Netherlands € 415 Million Link (PDF)
SoundCloud Never Germany € 20 Million Link (PDF)
Spotify Download² Sweden € 163 Million Link (PDF)
YouTube Download² USA € 3.87 Billion Link (PDF)

1 In addition to the raw data, users have the right to know the sources, recipients, purposes and alike. ² Instant download option on the webpage. ³ Approximate value for 2017 based on public information.