Dans un contexte totalement différent de celui que l’Institut a dénoncé concernant CAMAIEU, mais en revanche, beaucoup plus inquiétant pour la protection de nos données, nous apprenons qu’un « partenaire » de DEEZER a mis en vente sur un forum clandestin les données de 250 millions de personnes abonnées à la plateforme pour un montant estimé à environ 46.2 millions.
Au vol s’ajoute le scandale : DEEZER ne semble pas s’émouvoir particulièrement de cette escroquerie, et d’ailleurs n’a présenté aucune excuse à ses utilisateurs. Il reconnaît une fuite des données, souligne simplement qu’il s’agit d’une fuite qui date de 2019, qu’elle « ne concerne pas d’informations sensibles » et rassure ses abonnés sur le fait qu’il ne semble pas qu’il y ait eu « d’utilisation abusive de leurs données ». Pourtant, ces données portent sur les noms, prénoms, adresses postales et numériques, villes et pays d’origine et même « genre » de l’abonné : ce n’est pas rien. Il faut croire que ces données ont des valeurs marchandes et marketing extrêmement importantes, compte tenu de leur mise à prix.
Ce qui rend encore plus grave, ce détournement, c’est que nous sommes massivement abonnés à ces mêmes plateformes de streaming, structurées comme DEEZER : par exemple : NEXFLIX, SPOTIFY, AMAZON etc…
DEEZER affirme qu’il n’y a pas eu « d’utilisation abusive de ces données ». Des données aussi précises ne sont jamais « anodines ». Quelle idée DEEZER se fait -il de la notion d’abus dès lors que toute information personnelle non cessible sans consentement est un vol caractérisé
A partir du moment où il y a eu transgression du RGPD, le délit est constitué, les utilisateurs de la plateforme n’ayant pas été informés de la vente de leurs données détournées, par un « partenaire » Depuis quand Deezer et son « partenaire » ont-ils eu connaissance de ce vol ? Depuis quand ont-ils eu connaissance de la vente des données sur un site illégal ? Si ce doute n’est pas levé, c’est un fait aggravant. Dans ce cas, il ne ferait donc plus aucun doute que cette transaction n’est pas qu’abusive, elle est crapuleuse. Les utilisateurs ont subi un grave préjudice moral. Rappelons quand même qu’ils ignorent entre les mains de quelles structures leurs données ont abouti. Ils auraient donc été tout à fait légitimes à exiger des explications sur ces pratiques illégales si elles avaient été portées à leur connaissance.
L’Institut demande à la CNIL de mener une enquête, si cela n’a pas encore été fait, pour non-respect du règlement RGPD en application de son article 15 sur le droit d’accès des personnes à leurs données personnelles détenues par un organisme, notamment sur les modalités d’obtention, de traitement et de conservation des informations. Il sera notamment important, pour sa réputation et la confiance de ses utilisateurs, d’établir qui de DEEZER ou du « partenaire » a manqué à ses obligations en matière de protection des de ses abonnés.
Enfin, la situation connue de DEEZER, n’a manifestement fait l’objet d’aucun signalement ni d’aucune demande de sanction vis-à-vis du sous-traitant incriminé sauf à préciser qu’ils ne travaillent plus ensemble. Par ailleurs la plateforme et son « partenaire » qui avaient identifié l’auteur du délit, ne se sont pas émus plus que cela de cette violation et tentent même, à la lecture de leur communiqué, de minimiser cet acte.
L’Institut souhaite que les responsabilités soient clairement établies dans cette affaire, afin que l’issue de ce cas serve d’avertissement à toutes les entreprises qui manient des données personnelles et qui ne déploient pas les contrôles exigeants que nécessite une rigoureuse application sans faille du RGPD. Ce n’est pas pour rien que cet instrument très précieux a été voté depuis 2018 pour protéger la vie privée des citoyens européens dans les infrastructures numériques.
Jean-Marie Cavada
Président de l’iDFrights
Colette Bouckaert
Secrétaire Générale de l’iDFrights