5 ans. C’est le temps qu’il aura fallu pour qu’une plainte concernant l’accès aux données personnelles déposée contre Netflix aboutisse enfin à une sanction dans l’Union Européenne. L’autorité néerlandaise de protection des données (DPA) a en effet infligé une amende de 4,75 millions d’euros au géant du streaming, l’équivalent de 5 millions de dollars, pour violation du Règlement Général sur la Protection des Données (RGPD).

Un manque de transparence pointé du doigt

Selon la DPA, Netflix n’a pas suffisamment informé ses clients sur l’utilisation qui était faite de leurs données personnelles. Un manquement aux obligations de transparence prévues par le RGPD, qui donne notamment aux citoyens européens le droit de demander une copie des informations les concernant détenues par une entreprise, ainsi que des précisions sur l’usage qui en est fait.

Une faille de taille pour le mastodonte américain, qui revendiquait fin 2023 pas moins de 230 millions d’abonnés dans le monde, dont une part significative en Europe. Si l’amende peut paraître dérisoire au regard des 33,7 milliards de dollars de chiffre d’affaires engrangés par Netflix sur la seule année 2023, elle constitue néanmoins un signal fort envoyé par les autorités européennes.

L’amende de 4,75 millions d’euros à l’encontre de Netflix pour non-respect du RGPD met en lumière la difficulté à faire respecter les droits des individus face aux géants du numérique.

Max Schrems, fondateur de noyb

Une procédure marathon initiée en 2019

C’est l’association autrichienne de défense de la vie privée noyb (None Of Your Business) qui est à l’origine de la plainte déposée contre Netflix en janvier 2019, en même temps que d’autres réclamations visant les services de streaming Amazon Prime, Apple Music et YouTube.

L’ONG reprochait à ces plateformes de ne pas donner un accès suffisant aux données collectées sur leurs utilisateurs, malgré les dispositions du RGPD entré en vigueur quelques mois plus tôt, en mai 2018. Près de 5 ans plus tard, la plupart de ces procédures sont toujours en cours :

• La plainte contre Amazon est bloquée au Luxembourg dans l’attente d’une décision judiciaire, noyb ayant attaqué l’autorité locale pour inaction
• Celle visant Apple Music avance en Irlande
• Le dossier Spotify a abouti en 2023 après une victoire de noyb devant les tribunaux autrichiens contre l’autorité locale là aussi mise en cause pour inertie
• Quant à la plateforme autrichienne Flimmit, elle a également été condamnée

Netflix fait appel, les limites du RGPD en question

Dans le cas de Netflix, le chemin est encore long avant une éventuelle confirmation de la sanction. Le groupe a en effet fait part de son intention de faire appel de la décision néerlandaise, estimant avoir pleinement coopéré avec les autorités.

Au-delà du cas Netflix, cette affaire met surtout en lumière les écueils auxquels se heurte le RGPD. Malgré un cadre théorique ambitieux, le règlement européen peine encore à se traduire par des décisions rapides et des sanctions réellement dissuasives pour les acteurs concernés, en particulier les géants américains de la tech.

Une efficacité limitée qui s’explique en partie par le manque de moyens des autorités de contrôle nationales, par la complexité et la durée des procédures, mais aussi par la réticence de certains régulateurs à s’attaquer frontalement aux mastodontes du numérique. Autant de freins qui empêchent encore le RGPD de déployer pleinement ses effets, près de 5 ans après son entrée en vigueur.

Reste à voir si la condamnation de Netflix, même symbolique, marquera un tournant vers une application plus rigoureuse et systématique du règlement. Les prochains mois, et les décisions attendues dans les dossiers encore en cours, apporteront sans doute des éléments de réponse. Une chose est sûre : la partie de bras de fer entre régulateurs et géants de la tech autour des données personnelles est loin d’être terminée.