Le géant du streaming musical Spotify devrait être condamnée à payer une amende d’un peu plus de 5 millions d’euros. l’Integritetsskyddsmyndigheten (IMY), l’autorité suédoise de la protection des données, a considéré que l’entreprise n’a pas communiqué de manière suffisamment précise sur la manière dont elle exploitait les données personnelles de ses utilisateurs.

Une sanction découlant d’une plainte déposée en 2019

Spotify a tout bonnement violé l’article 15 du règlement général sur la protection des données (RPGD) relatif « au droit d’accès de la personne concernée ». Cette infraction au RGPD a été constatée par l’association Noyb qui n’a pas hésité à porter plainte contre la plateforme de streaming musical en Autriche.

Le mécanisme de guichet unique permettant le traitement de ce type de plaintes n’a pas permis au Datenschutzbehörde (DSB), le régulateur autrichien de protection des données, d’examiner cette réclamation. En effet, c’est à l’autorité nationale où se situe le siège social européen de l’entreprise de traiter cette plainte. En l’occurrence, l’IMY qui a mis plus de quatre ans avant d’apporter ses conclusions.

L’association autrichienne présidée par Max Schrems a donc saisi l’autorité suédoise en portant plainte contre elle afin qu’elle puisse enfin donner sa décision sur le cas Spotify. « L’autorité suédoise doit absolument accélérer ses procédures. […] Nous sommes néanmoins heureux de voir que les autorités suédoises ont finalement agi, » a déclaré Stefano Rossetti, avocat spécialiste de la protection de la vie privée chez Noyb. L’ONG pense que l’IMY a enquêté de manière trop large sur les agissements de Spotify alors que sa plainte ne concernait que l’article 15 du RGPD.

L’autorité suédoise se défend et présente les différents manquements de Spotify

Le régulateur suédois qui aurait confirmé avoir identifié un certain nombre de violations. Dans sa déclaration, elle précise « avoir enquêté sur les procédures générales de Spotify pour le traitement des demandes d’accès aux données personnelles et a constaté certaines lacunes liées aux informations qui doivent être fournies à la personne qui fait la demande conformément à l’article 15.1 ah et 15.2 du RGPD ».

Elle ajoute également que les articles 12.1 et 12.3 du RGPD n’a pas été respecté par Spotify. Relatifs à « la transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », ces alinéas obligent les entreprises à être transparente vis-à-vis du traitement des données personnelles, notamment dans le cadre de l’article 15 du RGPD.

De son côté, Spotify a réagi. Un porte-parole de l’entreprise a précisé « qu’au cours de son enquête, l’IMY n’a trouvé que des domaines mineurs de notre processus qui, selon elle, devaient être améliorés ». La plateforme a conclu en affirmant qu’elle n’était pas d’accord avec la décision et qu’elle prévoyait de faire appel de la décision de l’autorité suédoise.