Spotify condamné à 5,4 millions de dollars pour violation des règles du RGPD

Spotify, la populaire plateforme de streaming musical, a été condamnée mardi à une amende administrative de 58 millions de SEK (environ 5,4 millions de dollars) en Suède pour avoir enfreint les droits d’accès aux données de ses utilisateurs dans l’Union européenne.

Selon le Règlement général sur la protection des données (RGPD) qui est entré en vigueur en 2018, les utilisateurs ont le droit d’accès, ce qui signifie qu’ils ont le droit de savoir quelles données personnelles une entreprise traite à leur sujet et de recevoir des informations sur l’utilisation de ces données.

Cependant, lors de son audit, l’Autorité suédoise de protection de la vie privée (IMY) a trouvé Spotify coupable de violation de l’article 15 du RGPD européen. Elle a découvert que Spotify communique les données personnelles que l’entreprise traite lorsque des individus en font la demande ; cependant, elle n’a pas fourni d’informations claires et complètes sur la manière dont les données collectées à leur sujet étaient utilisées par l’entreprise.

L’IMY a souligné que Spotify devrait être plus transparent “sur la manière et les finalités pour lesquelles les données personnelles des individus sont traitées.” Le manque de clarté a rendu difficile pour les utilisateurs de comprendre comment leurs données personnelles étaient traitées et d’évaluer si le traitement de leurs données personnelles était légal.

“L’Autorité suédoise de protection de la vie privée (IMY) a enquêté sur les procédures générales de Spotify concernant le traitement des demandes d’accès et a trouvé certaines lacunes liées aux informations qui devraient être fournies à l’individu faisant la demande conformément aux articles 15.1 a-h et 15.2 du RGPD et en relation avec la description des données dans les fichiers journaux techniques fournis par Spotify. L’IMY a imposé une amende administrative de 58 millions de SEK à Spotify pour ne pas avoir fourni d’informations suffisamment claires aux individus à cet égard. La décision inclut des violations des articles 12.1, 15.1 a-d, g et 15.2 du RGPD,” a déclaré le régulateur dans un communiqué.

“L’enquête de l’IMY a également englobé une enquête sur ce qui s’est passé dans trois plaintes différentes et ici l’IMY a constaté que Spotify avait échoué dans son traitement des demandes d’accès liées à deux des plaintes examinées. La décision dans cette partie inclut des violations des articles 12.1, 12.3, 15.1, 15.3 et 15.1 a-h et 15.2 du RGPD. En relation avec ces infractions, l’IMY émet un avertissement.”

Le régulateur a également déclaré que les lacunes identifiées étaient considérées comme “d’un faible niveau de gravité”, l’amende imposée tenant compte des revenus de Spotify et du nombre d’utilisateurs.

Étant donné que Spotify a des utilisateurs dans de nombreux pays, la décision ci-dessus a été prise en coopération avec d’autres autorités de protection des données de l’UE.

La décision contre Spotify intervient plus de quatre ans après qu’une plainte a été déposée contre la plateforme de streaming musical par l’organisation à but non lucratif de protection de la vie privée et des droits numériques noyb au début de 2019.

Dans la plainte déposée par noyb, l’organisation a allégué que Spotify n’avait pas fourni aux utilisateurs toutes les données personnelles demandées, des informations sur leur source, les destinataires des données personnelles ou des détails sur les transferts internationaux de données en vertu de l’article 15 du RGPD.

La plainte originale a été déposée en Autriche, mais l’affaire a été envoyée à l’IMY car Spotify était basé en Suède. De plus, une plainte liée au même problème, déposée aux Pays-Bas, a été combinée à l’affaire suédoise. Cependant, les affaires ont stagné auprès de l’IMY pendant quatre ans.

En conséquence, le 22 juin 2022, noyb a intenté une action en justice contre l’IMY devant les tribunaux suédois en raison du manque de décision. Enfin, après plus de quatre ans depuis le dépôt initial de l’affaire, l’IMY a ordonné à Spotify de fournir l’ensemble des données au plaignant en vertu de l’article 58(2)(c) du RGPD.

“Nous sommes heureux de voir que l’autorité suédoise a enfin agi. C’est un droit fondamental de chaque utilisateur d’obtenir des informations complètes sur les données qui sont traitées à leur sujet. Cependant, l’affaire a duré plus de 4 ans et nous avons dû intenter une action en justice contre l’IMY pour obtenir une décision. L’autorité suédoise doit définitivement accélérer ses procédures,” a déclaré Stefano Rossetti, avocat en protection de la vie privée chez noyb, dans un communiqué.

Spotify a rejeté les conclusions de l’IMY et prévoit de faire appel de l’amende du RGPD de l’UE.

“Spotify offre à tous les utilisateurs des informations complètes sur la manière dont les données personnelles sont traitées. Au cours de leur enquête, l’APD suédoise n’a trouvé que des domaines mineurs de notre processus qu’ils estiment nécessiter une amélioration. Cependant, nous ne sommes pas d’accord avec la décision et prévoyons de faire appel,” a déclaré l’entreprise dans un communiqué.

Lorsqu’on lui a demandé si Spotify apportait des modifications à son protocole de réponse aux demandes d’accès aux données des utilisateurs en tenant compte des sanctions de l’IMY, un porte-parole de Spotify a déclaré que l’entreprise n’avait rien à confirmer pour le moment. Cependant, ils ont mentionné que l’entreprise examine et améliore continuellement le processus pour renforcer la transparence.