Comment Netflix, Spotify et Deezer gèrent vos données personnelles ?

Comment Netflix, Spotify et Deezer gèrent vos données personnelles ?

Elles sont de plus en plus adoptées par les internautes, et si elles se diversifient et que les offres d’abonnement mensuel se multiplient, elles ont tendance à se différencier grâce à des exclusivités à succès qui font de plus en plus parler d’elles. En témoigne la frénésie collective autour du récent retour aux écrans des iconiques braqueurs de la Casa de Papel. Il s’agit bien sûr des plateformes de streaming de vidéo ou de musique à la demande par abonnement. Parmi les plus connues figurent évidemment Netflix et Spotify suivis de près par plusieurs mastodontes du secteur tels que Deezer, Apple Music, Amazon Prime, Hulu, et bien d’autres pour lesquelles le succès semble tout autant être au rendez-vous. Leur essor est effectivement stupéfiant : Netflix a annoncé en avril 2019 la plus grosse hausse du nombre de ses abonnés en un trimestre, soit 9,6 millions de plus, ce qui porte le total à 148,86 millions d’utilisateurs dans le monde. Le même mois, Spotify était devenue la première plateforme de streaming musical à obtenir 100 millions d’abonnés, soit une augmentation de 32 % par rapport à la même période l’année précédente.

Ces géants du streaming acquièrent ainsi de nombreuses données personnelles au sujet de la consommation de vidéos ou de musiques de leurs millions d’abonnés : habitudes de visionnement ou d’écoute, horaires et temps d’utilisation, autant d’informations qui permettent de parfaire leurs algorithmes afin de cibler précisément les goûts et d’émettre ces fameuses recommandations qui font partie des éléments majeurs de leur développement. Ces données sont également analysées et prises en comptes pour le choix de décisions stratégiques aux niveaux marketing et commercial, et étant donné qu’elles apportent d’importantes indications concernant les goûts et envies des consommateurs, il va sans dire qu’elles sont convoitées par une multitude d’entreprises.
Si les plateformes de streaming populaires n’ont jamais dissimulé leurs pratiques de collecte et d’analyse de données à des fins de personnalisation et d’amélioration, leurs utilisateurs n’ont, semble-t-il, pas nécessairement conscience de ce que cela implique.
Le 10 décembre 2017, environ 5 mois avant l’entrée en application du RGPD, Netflix entama une nouvelle campagne de communication quelque peu particulière par le biais d’un tweet qui se voulait humoristique : “Aux 53 personnes qui ont regardé ‘A Christmas Prince’ chaque jour depuis 18 jours : qui vous a fait du mal ?”. Le lendemain, plusieurs rédactions dans le monde reçurent un communiqué de la part de Netflix dressant un bilan en chiffres de 2017. Le compte-rendu fournissait des informations générales concernant les clients et les heures de contenus regardés (140 millions par jour et 1 milliard par semaine), mais également d’autres plus précises : on y apprend ainsi qu’un client “a regardé Pirates des Caraïbes tous les jours pendant un an”, et qu’un autre, habitant en Grande-Bretagne, a vu “Bee Movie 357 fois en 2017”.
Constatant certainement pour la première fois ce qu’impliquait de manière concrète la collecte de données par les services de streaming, et se rendant compte que ces derniers pouvaient être au courant de ce que leurs utilisateurs regardaient, à quel moment, et à quel rythme, de nombreux internautes se sont indignés, au point de créer un scandale suite au tweet en question.
Mais Netflix n’est pas la première plateforme à choisir de communiquer de la sorte et à dévoiler publiquement des données précises concernant la consommation de ses utilisateurs : environ un an auparavant, Spotify avait créé quelques affiches publicitaires similaires sur lesquelles il était possible de lire des messages tels que “Au parisien qui a écouté “Cold Water” 26 fois le jour le plus chaud de l’année”, ou encore “Aux 1722 mecs à Paris qui ont aimé la playlist “Girl’s Night” cette année, excellent choix”.

Des utilisateurs friands de leurs propres données de streaming

Toutefois, tous les utilisateurs de plateformes de streaming ne s’opposent pas nécessairement à cette collecte de données. À l’heure du développement de nombreux objets connectés permettant de capter les constantes physiologiques et les performances sportives, certaines plateformes de streaming ont bien saisi l’engouement global pour la “mesure de soi”. Spotify et Deezer ont ainsi élaboré chacune un outil permettant à leurs utilisateurs d’obtenir des rapports regroupant leurs statistiques d’utilisation de la plateforme correspondante.
Le premier, Spotify Wrapped, indique annuellement les titres les plus écoutés, les genres les plus redondants, le temps total d’écoute, les moments de la journée durant lesquels Spotify est fréquemment utilisé, et d’autres informations dont les types varient au fil des années.
Le second outil, l’application Stateeztics, de Deezer, fourni mensuellement des statistiques semblables à propos de l’auditeur, mais aussi de quelques uns de ses amis. Le succès fulgurant de cette application, qui a vu son nombre d’utilisateurs exploser pour dépasser les 530 000, ne fait que confirmer l’intérêt suscité par le quantified self.
Cet anglicisme, parfois traduit en français par “mesure de soi”, désigne l’ensemble des pratiques permettant de se jauger soi-même, d’obtenir par le biais de nouvelles technologies des données relatives à son corps, à sa santé, à ses activités, ou encore à ses goûts afin de mieux se connaître, d’évoluer, ou d’éventuellement comparer son mode de vie à celui d’autres. De la même manière que la mesure de ses pas, de son rythme cardiaque, ou des performances de son dernier jogging permet de se connaître et de se situer physiquement, celle de ses écoutes peut mener à une compréhension de ses habitudes musicales, de soi-même, et de ses goûts, qu’il est désormais possible de revendiquer en partageant ces informations avec ses cercles d’amis.
Mais évidemment, tout cela n’indique rien de la sécurisation et de la conservation des données personnelles de leurs utilisateurs par les plateformes de streaming, ni de l’ensemble des utilisations de ces informations…

Des procédés de plateformes parfois controversés

Et pour cause, divers problèmes impliquant des données personnelles ont touché plusieurs de ces plateformes de streaming.
Dans le cadre d’une enquête au sujet de Facebook, le Parlement britannique avait publié en décembre 2018 plus de 200 pages d’échanges internes au réseau social prouvant que celui-ci avait conclu des accords avec près de 150 entreprises, leur donnant accès aux données personnelles de ses utilisateurs à leur insu. Parmi ces dernières, figuraient Spotify et Netflix, qui avaient en plus fait l’objet d’un accord particulier, puisqu’elles avaient même eu accès aux conversations Messenger des utilisateurs. Si Facebook a expliqué par la suite avoir fourni un tel accès dans le cadre d’expérimentations en vue d’intégrer Messenger à ces plateformes, cela n’avait tout de même évidemment pas été vu d’un très bon oeil.
Spotify avait notamment déjà eu quelques problèmes liés aux données personnelles avant le RGPD, particulièrement lors d’une mise à jour de ses conditions d’utilisation et de sa politique de protection de la vie privée en août 2015, au sein desquelles l’entreprise indiquait étendre le nombre de données personnelles qu’elle avait la possibilité de recueillir. Une fois la nouvelle politique acceptée, les utilisateurs consentaient en effet à ce que la plateforme collecte leurs coordonnées de géolocalisation, leurs photos, leurs contacts, les informations issues des capteurs sensoriels de leurs smartphones afin de déterminer s’ils marchent, courent, ou restent immobiles. La plateforme pouvait ensuite transmettre ces informations à ses partenaires, officiellement dans un but d’amélioration de l’expérience utilisateur et d’élaboration de nouvelles solutions. Journalistes, personnalités, et communautés sur les réseaux sociaux s’étaient alors insurgés contre cette nouvelle collecte qui leur semblait abusive, amenant le patron de la plateforme à s’expliquer et à s’excuser.
Peu de temps après l’entrée en vigueur du RGPD, Peter Steinberger, développeur autrichien utilisateur de Spotify, a souhaité exercer son droit d’accès auprès de la plateforme de streaming afin d’obtenir les données personnelles qu’elle possédait à son sujet. Passant d’abord par le dispositif en ligne de téléchargement des données accessible au sein des comptes Spotify, il s’est rendu compte qu’il n’avait récupéré par défaut qu’une infime archive ne contenant presque rien. S’en suivirent alors de nombreux échanges par emails et réclamations au terme desquels il obtenu enfin l’intégralité de son dossier. Au-delà des informations classiques déclarées comme étant collectées par la plateforme, et de celles nécessaires à son bon fonctionnement, étaient répertoriées dans ces 250 Mo de données le suivi intégral de toute interaction avec le service jusque dans les moindres détails : sa manière de redimensionner les fenêtres de l’application, la marque des écouteurs utilisés, sa manière de régler le volume en écoutant des chansons, ses recherches, et la moindre action effectuée sur l’interface utilisateur. Des informations qui peuvent parfois être anodines, voire inutiles et inexploitables, ce qui souligne bien la tendance que peuvent avoir certaines entreprises à vouloir massivement collecter des données.

Le RGPD pas encore tout à fait intégré

Déjà connue pour s’être attaquée à Google, Facebook, Instagram et Whatsapp, l’association NOYB (None of your business) menée par le juriste et activiste Autrichien Max Schrems, a déposé en janvier une plainte auprès de la CNIL autrichienne à l’encontre de 8 services de streaming. Netflix, Amazon Prime, Youtube, Spotify, SoundCloud, Apple Music, Flimmit et DAZN, sont en effet accusés de ne pas respecter l’article 15 du RGPD, à savoir le droit d’accès des personnes, via une requête d’exercice de droit, aux données personnelles qu’un organisme détient à leur sujet et aux modalités d’obtention, de traitement et de conservation de ces informations. L’association a justement envoyé une requête à chacune des 8 plateformes, et si 2 d’entre elles n’ont pas répondu (SoundCloud et DAZN), les 6 réponses reçues ont toutes été jugées insuffisantes : certains types de données manquaient, celles fournies étaient transmises dans des formats qui en rendaient la lecture très difficile, voire impossible pour des lecteurs ordinaires, et il manquait des informations contextuelles telles que les sources, les destinataires, les finalités de collecte des données personnelles, et leurs conditions et durées de conservation. Seule la plateforme Flimmit s’est démarquée en proposant une réponse à la requête relativement convenable, bien que trop peu complète pour être considérée comme conforme.

comparatif-plateforme-streaming

Autre élément problématique, le droit à la portabilité des données (article 20 du RGPD) permettant à une personne de recevoir ses données personnelles détenues par une organisation dans un format structuré afin de les transférer à une autre organisation. Un droit qui pourrait être utile dans le cadre des services de streaming, par exemple pour transférer ses playlists, son historique, et ses informations permettant les recommandations, d’une plateforme à une autre en cas de changement. Mais malheureusement, si la grande majorité des services propose bien un outil de téléchargement de ses données, la fonction permettant de les importer au sein d’une autre plateforme est encore loin d’être élaborée et mise à disposition. Il existe cependant des solutions tierces telles que Soundiiz ou Stamp , et Google travaille actuellement sur le développement d’un socle logiciel commun faisant consensus pour le transfert de données entre les différents services. Nommée Data Transfer Project, l’initiative n’est pour l’instant encore qu’en phase de développement.

Des évolutions impliquant les données personnelles à anticiper

Si les acteurs du streaming tendent à évoluer en proposant de nouveaux contenus ou services, l’une de ces innovations est particulièrement sujette à controverse : les récits interactifs proposés par Netflix , des séries ou films au sein desquels le téléspectateur s’identifie au personnage principal et doit prendre des décisions qui influeront sur la suite du schéma narratif. Ainsi, ne sont plus seulement recueillies par la plateforme les données relatives aux choix de programmes des utilisateurs, mais aussi celles des choix effectués durant les visionnages. Dans le premier programme de ce type créé, Bandersnatch , le téléspectateur peut par exemple choisir si le personnage principal accepte un poste dans une entreprise, s’il se rend à un rendez-vous ou suit plutôt un ami, mais aussi entre deux musiques à écouter dans le bus, ou encore entre deux marques de céréales à consommer durant le petit-déjeuner, des marques qui existent dans la vie réelle : Frosties , qui a fait l’unanimité en étant choisi par 60 % des téléspectateurs, et Sugar Puffs . Etant donné qu’un chercheur de l’ University College de Londres a découvert que ces données concernant les choix des utilisateurs étaient conservées et leur étaient toujours liées (liées à leur compte), il est aisé d’anticiper les possibles utilisations commerciales d’un tel format, servant potentiellement d’outil à des marques pour sonder la popularité de leurs produits.

Les plateformes de streaming peuvent donc collecter d’importantes quantités de données au sujet de leurs utilisateurs. Si de nouvelles législations comme le RGPD visent à protéger ces derniers de tout abus, les personnes concernées elles-mêmes doivent apprendre à consacrer une attention un peu plus importante aux conditions d’utilisation et aux politiques des plateformes sans tout accepter d’emblée. Les abonnés ne semblent pas opposés à la collecte de leurs données tant que celle-ci n’est pas abusive, mais protestent contre certaines utilisations qui peuvent être faites de ces informations. Alors que les pratiques des plateformes évoluent, à la manière de Netflix qui s’est récemment intéressée à l’activité physique de ses utilisateurs captée par leurs smartphones dans un but d’amélioration de ses offres, il est certain que les réglementations en termes de données personnelles poursuivront leur évolution afin de garantir aux citoyens une protection continue.

Accéder à l'application