Les cinémas et les théâtres sont fermés mais le spectacle doit continuer, comme on dit. Et le spectacle continue. Il y a la télévision, bien sûr, mais aussi les services de streaming comme Netflix ou Amazon
Les services de streaming sont pratiques et amusants ... et génèrent beaucoup de données sur les films ou les chansons que vous consommez, où et quand. Toutefois, ils expliquent souvent de manière peu soignée aux utilisateurs ce qu'il advient de leurs données, qu'elles soient financées par la publicité ou par des abonnements payants
La Chambre autrichienne du travail (Kammer für Arbeiter und Angestellte, AK) et le Noub ont enquêté sur les pratiques d'information de huit services de streaming en vertu des dispositions du règlement général sur la protection des données (GDPR) : Amazon Prime (musique et vidéo), Apple Music (musique), DAZN (vidéo), Flimmit (vidéo), Netflix (vidéo), SoundCloud (musique), Spotify (musique) et YouTube (vidéo).
Le GDPR exige des fournisseurs qu'ils fournissent des informations sur l'utilisation des données personnelles et les droits de protection des données des utilisateurs "sous une forme précise, transparente, compréhensible, facilement accessible et dans un langage simple".
Le test montre : Ce qui arrive aux données des clients reste souvent dans l'ombre. AK et noyb ont évalué onze exigences du GDPR. Les exigences et ce que nous attendions sont énumérés ci-dessous. Tous les éléments d'information sont généralement d'égale importance.
Nom et coordonnées du responsable du traitement
Le nom et les coordonnées du responsable du traitement (c'est-à-dire de la société qui traite les données à caractère personnel) doivent idéalement couvrir les différents modes de communication, tels que le numéro de téléphone, l'adresse électronique, l'adresse postale, etc. Si l'on considère le principe d'équité de la GDPR, mais aussi l'article 5, paragraphe 1, point c), de la directive sur le commerce électronique (2000/31/CE), nous nous attendions à des coordonnées électroniques car les services étudiés sont de nature numérique. Se contenter de fournir une adresse postale serait insuffisant, ce qui serait injuste dans le contexte d'un service de streaming. Nous pensons également qu'un simple formulaire de contact en ligne est insuffisant. D'une part, un formulaire est une méthode de contact et non une donnée de contact. D'autre part, il empêche artificiellement l'utilisateur de contacter le responsable du traitement selon la méthode de son choix.
Coordonnées du délégué à la protection des données
Les coordonnées du délégué à la protection des données (DPD), le cas échéant (tous les responsables du traitement ne sont pas tenus de désigner un DPD). La communication des coordonnées du DPD devrait permettre aux personnes concernées et aux autorités de contrôle de le contacter facilement, par exemple via une adresse postale, un numéro de téléphone et/ou une adresse électronique spécifiques. Compte tenu du principe d'équité de la GDPR, nous nous attendions à ce que les coordonnées soient fournies par voie électronique, car les services faisant l'objet d'une enquête sont de nature numérique. Seul le fait de fournir une adresse postale serait insuffisant, ce qui serait injuste dans le contexte d'un service de streaming. Nous pensons également qu'un simple formulaire de contact en ligne est insuffisant. D'une part, un formulaire est une méthode de contact et non une donnée de contact. D'autre part, il empêche artificiellement l'utilisateur de contacter le responsable du traitement selon la méthode de son choix.
Les finalités et la base juridique du traitement, en liant chaque finalité à sa base juridique respective et aux catégories de données à caractère personnel traitées, et en indiquant quel est l'intérêt légitime lorsqu'il est invoqué comme base juridique
Les finalités pour lesquelles les données à caractère personnel sont traitées, ainsi que la base juridique pertinente en vertu de l'article 6 du RPPD et, lorsque des catégories particulières de données sont traitées, une base juridique supplémentaire en vertu de l'article 9 du RPPD. Lorsque le responsable du traitement se fonde sur des intérêts légitimes comme base juridique du traitement, il doit également informer la personne concernée de ces intérêts et être en mesure de démontrer que le traitement est nécessaire et proportionné. Nous avons également évalué si le responsable du traitement a lié chaque finalité à une base juridique et à des catégories spécifiques de données à caractère personnel. Cette exigence découle des obligations de transparence du GDPR et constitue le seul moyen pour un utilisateur de contrôler réellement les activités de traitement du responsable du traitement
Destinataires des données à caractère personnel
Les destinataires peuvent être d'autres contrôleurs mais aussi des prestataires de services. Nous nous attendions à ce que les noms des destinataires et les catégories de données personnelles partagées avec chacun d'entre eux soient indiqués. À tout le moins, si pour une raison quelconque tous les destinataires ne pouvaient être nommés, nous nous attendions à ce que le responsable du traitement indique les catégories de destinataires et précise les activités qu'ils exercent, leur secteur, leur secteur et sous-secteur, et leur localisation.
Transferts en dehors de l'UE/EEE
En cas de transfert de données vers des pays hors de l'UE/EEE, les pays doivent être nommés et les garanties invoquées (par exemple, décision d'adéquation au titre de l'article 45 du GDPR, clauses contractuelles types, dérogations, etc. ). Le responsable du traitement doit également prévoir les moyens d'accéder aux documents pertinents ou de les obtenir.
Période de conservation
Les périodes de conservation devraient être spécifiques à la catégorie de données à caractère personnel concernée ou, à tout le moins, permettre à l'utilisateur d'évaluer la durée de la conservation telle qu'elle s'applique à ces données. Si un responsable du traitement déclare que les données sont conservées pour respecter une obligation légale, nous nous attendons à ce qu'il précise cette obligation légale.
Informations sur les droits de GDPR
Des informations sur les droits de l'utilisateur en matière d'accès, de rectification, d'effacement, de limitation du traitement, d'opposition au traitement et de portabilité, ainsi que sur le droit de retirer son consentement à tout moment et le droit de déposer une plainte auprès d'une autorité de contrôle. À proprement parler, il ne suffit pas de se contenter d'informer sur l'existence de ces droits, le responsable du traitement doit expliquer ce que ces droits signifient et comment les exercer. En outre, le droit de déposer une plainte devrait expliquer qu'une plainte peut être déposée auprès de l'autorité de contrôle d'un État membre de sa résidence habituelle, de son lieu de travail ou d'une violation présumée du RIPD
Existence d'un processus décisionnel automatisé, y compris le profilage
Une explication claire et nette du fonctionnement du profilage ou du processus de décision automatisé. En outre, le responsable du traitement doit informer la personne concernée de l'importance et des conséquences envisagées de ce traitement.
Apple et YouTube n'étaient "que partiellement" ou "pas satisfaisants". Flimmit et SoundCloud ont obtenu les meilleurs résultats, suivis de Spotify. Sur les 85 évaluations individuelles, 23 étaient "satisfaisantes", 40 étaient "seulement partiellement satisfaisantes" et 22 "non satisfaisantes".
En général, les informations étaient souvent peu claires ou simplement pas données. Par exemple, les périodes de conservation étaient indiquées comme étant "aussi longues que nécessaire" et que "les données peuvent être transmises à des tiers". Ces phrases vides de sens ne fournissent aucune information concrète sur ce qu'il advient réellement des données à caractère personnel traitées
En ce qui concerne le transfert de données à caractère personnel à des destinataires, une catégorie qui suscite la curiosité de nombreux utilisateurs, seul Flimmit a indiqué quelles données à caractère personnel sont transférées à quelle catégorie de destinataires et à quelle fin - bien qu'ici aussi, les destinataires spécifiques aient été pour la plupart absents
Une autre critique porte sur le fait qu'il y a souvent peu d'informations sur la manière dont les offres sont personnalisées par des recommandations individuelles. Seul SoundCloud a indiqué quelles catégories de données sont utilisées pour ce type de personnalisation. Un point positif, cependant, est que tous les services, à l'exception d'Apple, fournissent des informations claires sur le fait que les consommateurs peuvent retirer tout consentement accordé.
En résumé : les services ne respectent généralement pas l'une des exigences les plus fondamentales du GDPR, à savoir que les utilisateurs soient informés de ce qu'il advient de leurs données.
Environ 92 % des Autrichiens utilisent des services de streaming sur le net - en moyenne un peu moins d'une demi-heure par jour, les jeunes pendant déjà une heure et demie par jour (statista.com 2018). Ces chiffres sont probablement très similaires dans d'autres États membres. Netflix et Amazon Prime comptent chacun bien plus de 150 millions de clients dans le monde. Chaque interaction avec le service peut être enregistrée et analysée afin d'obtenir des informations sur l'utilisateur. Par exemple, une préférence soudaine pour la musique mélancolique pourrait-elle indiquer une séparation ?
Lire le rapport complet en allemand ici
Pour plus d'informations de la Chambre autrichienne du travail (AK), cliquez ici
L'association à but non lucratif noyb s'engage à faire respecter la législation européenne en matière de protection des données. Plus de 3 200 membres de soutien rendent possible le travail de Nobb. À ce jour, l'ONG a déjà engagé plus de 25 procédures pour de nombreuses violations délibérées des lois sur la protection des données - contre des entreprises telles que Google, Apple, Facebook et Amazon.
Pour plus d'informations et les demandes des médias
Par courrier électronique media@noyb.eu
Par téléphone : +43 660 2678622