Le géant du streaming musical Spotify risque une amende d’environ 5 millions d’euros (5,4 millions de dollars) en Suède, des années après avoir été accusé de violer les droits d’accès aux données des utilisateurs dans l’Union européenne en ne fournissant pas d’informations complètes sur les données personnelles qu’il traite en réponse à des demandes individuelles.
Si le montant de l’amende ne fera probablement pas les gros titres, le fait qu’elle ait finalement eu lieu est une preuve supplémentaire de la montagne que les utilisateurs européens doivent gravir pour faire respecter leurs droits en matière de protection des données.
La constatation d’une violation de l’article 15 du règlement général sur la protection des données (RGPD) intervient plus de quatre ans après qu’une plainte a été déposée contre Spotify par l’organisation à but non lucratif noyb, spécialisée dans la défense des droits à la vie privée. La plainte, qui a été déposée au début de 2019, alléguait que Spotify n’avait pas fourni de détails adéquats en réponse à la demande d’accès à l’objet (SAR) du plaignant.
La plainte soutient que la plateforme de streaming musical n’a pas fourni toutes les données personnelles demandées ; n’a pas fourni d’informations sur les finalités du traitement ; ni sur les destinataires ; et n’a pas non plus fourni d’informations sur les transferts internationaux, entre autres allégations.
Bien que la plainte ait été déposée à l’origine en Autriche, le mécanisme de guichet unique du GDPR, qui est censé rationaliser le traitement des dossiers lorsque le traitement des données dépasse les frontières nationales, a fait que la plainte a été acheminée vers la Suède, où Spotify a son principal établissement dans l’UE. (Une autre plainte sur le même sujet, déposée aux Pays-Bas, a également été jointe à l’affaire en Suède).
La plainte est restée en suspens pendant plusieurs années car, selon noyb, l’autorité suédoise a entrepris une enquête parallèle d’office à laquelle les plaignants n’ont pas participé – malgré le fait que le GDPR stipule que les contrôleurs de données doivent répondre aux demandes d’accès dans un délai d’un mois.
noyb a fini par intenter un procès à l’autorité suédoise de protection des données (IMY) en raison de l’absence de décision. L’année dernière, elle a contesté avec succès la position de l’IMY selon laquelle le plaignant n’est pas partie à la procédure, le tribunal administratif de Stockholm estimant que les plaignants ont le droit de demander une décision après six mois.
Alors que ce litige est toujours en cours (devant une juridiction supérieure), la décision du tribunal administratif de novembre dernier ordonnant à IMY de traiter et d’enquêter sur la plainte semble avoir incité la DPA à rendre une décision dans l’intervalle.
noyb a déclaré aujourd’hui qu’IMY a ordonné à Spotify de fournir enfin l’ensemble des données. Bien qu’il réserve son jugement sur la question de savoir si l’autorité a fait tout ce qu’elle demandait jusqu’à ce qu’il soit possible d’examiner la décision.
Dans une déclaration, Stefano Rossetti, avocat spécialisé dans la protection de la vie privée chez noyb, a ajouté:
Nous sommes heureux de constater que l’autorité suédoise a finalement pris des mesures. Tout utilisateur a le droit fondamental d’obtenir des informations complètes sur les données qu’il a traitées. Toutefois, l’affaire a duré plus de quatre ans et nous avons dû porter plainte contre l’IMY pour obtenir une décision. L’autorité suédoise doit absolument accélérer ses procédures.
Nous avons posé des questions à l’autorité suédoise, qui nous a envoyé la déclaration ci-dessous, confirmant qu’elle avait identifié un certain nombre de violations commises par Spotify dans le cadre de trois plaintes qu’elle avait examinées. Elle a également qualifié l’affaire de « complexe et complète », précisant qu’elle n’avait pas seulement examiné des cas individuels de traitement des demandes d’accès aux données, mais aussi évalué les procédures générales.
Voici la déclaration dans son intégralité :
L’Autorité suédoise pour la protection de la vie privée (IMY) a enquêté sur les procédures générales de Spotify pour traiter les demandes d’accès et a constaté certaines lacunes concernant les informations qui devraient être fournies à l’individu faisant la demande conformément à l’article 15.1 a-h et 15.2 du GDPR et en ce qui concerne la description des données dans les fichiers journaux techniques fournis par Spotify. L’IMY a infligé une amende administrative de 58 millions de couronnes suédoises à Spotify pour n’avoir pas fourni d’informations suffisamment claires aux personnes à cet égard. La décision comprend des violations des articles 12.1, 15.1 a-d, g et 15.2 du GDPR.
L’enquête de l’IMY a également porté sur ce qui s’est passé dans trois plaintes différentes et l’IMY a constaté que Spotify n’avait pas traité les demandes d’accès liées à deux des plaintes examinées. La décision dans cette partie inclut la violation des articles 12.1, 12.3, 15.1, 15.3 et 15.1 a-h et 15.2 du GDPR. En ce qui concerne ces infractions, l’IMY émet un blâme.
L’affaire a été complexe et complète et, comme expliqué ci-dessus, nous avons évalué à la fois les procédures générales de Spotify pour traiter les demandes d’accès individuelles, ainsi que la façon dont Spotify a agi dans un certain nombre de situations individuelles pour lesquelles nous avons reçu des plaintes auprès de l’autorité. Spotify ayant des activités et des utilisateurs dans plusieurs pays, le travail a également inclus une coopération avec d’autres autorités de protection des données dans l’UE. Cette coopération et les exigences d’un traitement similaire dans l’ensemble de l’UE ont également signifié que, au cours de la supervision, nous avons dû changer l’orientation de la supervision, ce qui a malheureusement retardé le traitement. La coopération avec l’UE, qui est apparue avec le GDPR, est quelque chose de relativement nouveau pour nous et des travaux sont en cours au sein de l’UE pour rationaliser la coopération – ce dont nous voyons la nécessité.
Spotify a également été contacté pour un commentaire. Un porte-parole de l’entreprise nous a envoyé cette déclaration, confirmant son intention de faire appel :
Spotify offre à tous ses utilisateurs des informations complètes sur la manière dont les données personnelles sont traitées. Au cours de son enquête, la DPA suédoise n’a trouvé que des aspects mineurs de notre processus qu’elle estime devoir être améliorés. Cependant, nous ne sommes pas d’accord avec la décision et prévoyons de faire appel.
Plus de cinq ans après l’entrée en vigueur du GDPR, en mai 2018, l’application du règlement continue d’être un patchwork de résultats très variables en raison des différences d’approche et de processus (et parfois aussi de ressources) entre les autorités nationales chargées de faire respecter les droits des Européens en matière de protection de la vie privée.
La plainte contre Spotify faisait en fait partie d’une série de plaintes stratégiques déposées par le noyb contre des plateformes musicales et vidéo qui cherchaient à tester l’application de la loi.
noyb a fait valoir que les violations structurelles des droits d’accès des utilisateurs aux données du GDPR constituaient la norme dysfonctionnelle sur les huit plateformes qu’elle a testées – à savoir : Amazon, AppleMusic, DAZN, Flimmit, Netflix, Spotify, SoundCloud et YouTube – dont beaucoup ont mis en place des systèmes automatisés pour répondre aux demandes de renseignements des utilisateurs qui ne fournissent pas toutes les informations que les Européens ont légalement le droit d’obtenir.
Plus de quatre ans plus tard, il n’est pas certain que l’image de la noyb, qui montre que les droits d’accès aux données des utilisateurs sont bafoués de manière systémique, ait changé de manière substantielle.
Dans le cas de Spotify, l’application effective de la loi – bien que péniblement lente – semble avoir fait bouger l’aiguille.
Max Schrems, fondateur et président de noyb, a confirmé que la décision de l’IMY contenait une injonction à Spotify de se conformer aux demandes d’accès. Il a également laissé entendre que la plateforme avait amélioré son système au cours de l’enquête. Nous attendons maintenant une réponse complète », a-t-il déclaré, avant d’ajouter : « Nous devons donc voir ce qu’ils ont fait : « Nous devons donc voir ce qu’ils vont envoyer et si c’est suffisant.
A la question de savoir si Spotify modifie son protocole de réponse aux demandes d’accès aux données des utilisateurs à la lumière de la sanction de l’IMY, une porte-parole de Spotify nous a dit que la société n’avait « rien à confirmer pour le moment », mais a ajouté : « Nous sommes toujours en train d’étudier et d’apporter des améliorations au processus afin d’améliorer la transparence ».
Schrems nous a également dit que noyb avait vu des mouvements sur trois des autres plaintes, y compris une affaire classée après que la plateforme en question (Flimmit) ait corrigé ses processus pendant la procédure, un projet de décision émis par la DPA néerlandaise sur Netflix, et DAZN qui serait proche de conclure en Autriche (devant un tribunal).
Au-delà, le tableau s’assombrit.
Selon M. Schrems, la moitié des huit plaintes déposées par le noyb au sujet de l’accès aux données n’ont donné lieu qu’à un silence radio de la part des autorités de protection des données concernées. (La DPA irlandaise serait responsable des plaintes concernant YouTube, propriété d’Apple et de Google ; le Luxembourg est responsable de la surveillance d’Amazon ; tandis que SoundCloud est basé à Berlin – et relèverait donc probablement du commissaire à la protection des données de la ville).
« Le reste n’est que silence – après 4,5 ans », a ajouté M. Schrems.
