Décision de l’Autoriteit Persoonsgegevens du 26 novembre 2024 à l’encontre de Netflix International B.V.

Faits

Le 26 novembre 2024, l’Autorité néer­lan­daise de protec­tion des données (Autoriteit Persoonsgegevens, AP) a infligé une amende de 4,75 millions d’euros à Netflix pour manque­ment au devoir d’information et au droit d’accès prévus dans le RGPD. L’enquête a été initiée suite à des plaintes dépo­sées par l’organisation autri­chienne None Of Your Business (NOYB). Ces plaintes ont été instruites aux Pays-Bas, où est situé le siège euro­péen de Netflix.

Selon la déci­sion de l’AP, appuyée par un rapport d’enquête, entre 2018 et 2020 Netflix n’a pas fourni à ses utili­sa­teurs des infor­ma­tions claires et complètes sur le trai­te­ment de leurs données person­nelles, notam­ment au sein de sa décla­ra­tion de confi­den­tia­lité. L’AP a égale­ment relevé des insuf­fi­sances dans les réponses appor­tées aux demandes d’accès des utilisateurs.

Position de Netflix

Selon Netflix, dans son rapport d’en­quête, l’au­to­rité néer­lan­daise applique une inter­pré­ta­tion stricte des obli­ga­tions de trans­pa­rence conte­nues dans le RGPD. L’entreprise estime qu’elle dispose d’une marge de manœuvre pour satis­faire à ses obli­ga­tions de trans­pa­rence, confor­mé­ment aux lignes direc­trices du Groupe de travail de l’Article 29 (Guidelines on Transparency du 29 novembre 2017, wp. 260rev.01). Ainsi un respon­sable de trai­te­ment dispose, selon Netflix, d’une certaine marge de manœuvre pour commu­ni­quer sur le trai­te­ment des données person­nelles et les infor­ma­tions à four­nir à cet effet, à un niveau de trans­pa­rence approprié.

Pour étayer sa posi­tion, Netflix avance les argu­ments suivants :

1. Selon Netflix, son modèle écono­mique est simple : il s’agit d’un service d’abonnement qui donne accès à des recom­man­da­tions person­na­li­sées, entre autres. Ainsi, l’utilisation des données person­nelles à des fins de recom­man­da­tions est simple et cohé­rente et il n’y aurait donc aucune obli­ga­tion de décrire les prin­ci­pales consé­quences du trai­te­ment des données person­nelles. Netflix affirme égale­ment que, depuis mai 2018, elle four­nit, via son « centre d’aide », une expli­ca­tion complète et compré­hen­sible, notam­ment sur le fonc­tion­ne­ment de son système de recommandations.
2. En ce qui concerne sa décla­ra­tion de confi­den­tia­lité, Netflix explique l’avoir adap­tée à l’interface utili­sa­teur télé­vi­sée, car la plupart de leurs clients utilisent leur télé­vi­sion pour regar­der des films et des séries. Pour des raisons d’uniformité et de trans­pa­rence, Netflix utilise les mêmes infor­ma­tions sur TV que sur d’autres plate­formes (mobile, tablette, navi­ga­teur Internet). Netflix estime que sa décla­ra­tion de confi­den­tia­lité est rédi­gée de manière détaillée sans être trop longue ou trop compli­quée afin de répondre aux problé­ma­tiques d’accessibilité. De plus, Netflix indique que le texte de la décla­ra­tion de confi­den­tia­lité contient des renvois vers des para­graphes four­nis­sant des infor­ma­tions plus spéci­fiques sur certains sujets. Grâce à cette approche en couches (comme recom­mandé par les lignes direc­trices du G29), Netflix consi­dère avoir fourni suffi­sam­ment d’informations dans sa décla­ra­tion de confi­den­tia­lité et, ainsi, avoir respecté ses obli­ga­tions d’information.
3. Netflix consi­dère égale­ment que l’obligation de mention­ner les desti­na­taires des données person­nelles par leur nom dans la décla­ra­tion de confi­den­tia­lité ne découle pas de l’art. 13, par. 1  RGPD, esti­mant que la simple indi­ca­tion des caté­go­ries de desti­na­taires est suffisante.
4. Enfin, Netflix renvoie à sa décla­ra­tion de confi­den­tia­lité, dans laquelle il est conseillé aux clients de contac­ter l’équipe de protec­tion de la vie privée de Netflix s’ils ont des ques­tions sur l’utilisation de leurs données person­nelles. Selon Netflix, l’option permet­tant d’obtenir des infor­ma­tions est peu utili­sée, mais dans les cas où cette infor­ma­tion a été deman­dée, elle a respecté son obli­ga­tion de transparence.

Netflix estime avoir aligné sa manière de travailler sur ces obli­ga­tions et, par consé­quent, se confor­mer aux obli­ga­tions d’information susmen­tion­nées. Elle conclut en affir­mant que l’approche stricte de l’AP néer­lan­daise entraîne une insé­cu­rité juri­dique pour Netflix, qui ne comprend pas exac­te­ment comment elle doit agir.

Manquements au devoir d’in­for­ma­tion et au droit d’accès

L’Autorité néer­lan­daise a retenu dans sa déci­sion que Netflix n’a pas respecté ses obli­ga­tions d’in­for­ma­tion et d’ac­cès aux données person­nelles confor­mé­ment aux art. 12 par. 1, 13 par. 1 et 3 et 15 RGPD. Son analyse se concentre sur quatre aspects prin­ci­paux : bases légales et fina­li­tés du trai­te­ment, desti­na­taires des données person­nelles, durées de conser­va­tion des données et trans­ferts inter­na­tio­naux de données.

Concernant les bases légales et fina­li­tés du trai­te­ment, l’AP reproche à Netflix de ne pas avoir clai­re­ment relié les bases légales aux fina­li­tés du trai­te­ment des données person­nelles. L’information était présen­tée d’une manière empê­chant une compré­hen­sion claire et trans­pa­rente des raisons et des bases légales du traitement.

Pour les desti­na­taires des données person­nelles, l’au­to­rité critique Netflix pour ne pas avoir expli­ci­te­ment nommé les enti­tés rece­vant des données person­nelles, notam­ment les four­nis­seurs de services publi­ci­taires. Netflix s’est contenté d’indiquer des caté­go­ries de desti­na­taires, ce qui, selon l’AP, ne respecte pas les exigences du RGPD en matière de trans­pa­rence. Cette posi­tion rappelle un arrêt de la CJUE (Arrêt CJUE C‑154/​21 du 12 janvier 2023, RW c. Österreichische Post AG) dans lequel la cour a avancé que, lorsque des données person­nelles sont commu­ni­quées, le respon­sable du trai­te­ment doit four­nir à la personne concer­née, à sa demande, l’identité des desti­na­taires (cf. www​.swiss​pri​vacy​.law/​2​16/).

En matière de durées de conser­va­tion des données, Netflix ne préci­sait pas dans sa décla­ra­tion de confi­den­tia­lité, les périodes de conser­va­tion des données person­nelles. Bien que l’entreprise ait fourni ces infor­ma­tions à l’AP sur demande, l’absence d’indication acces­sible aux utili­sa­teurs consti­tuait une viola­tion des obli­ga­tions de trans­pa­rence du RGPD selon l’autorité néerlandaise.

Enfin, concer­nant les trans­ferts inter­na­tio­naux de données, l’AP reproche à Netflix de ne pas avoir indi­qué préci­sé­ment vers quels pays en dehors de l’Espace écono­mique euro­péen (EEE) les données person­nelles étaient trans­fé­rées, ni quelles garan­ties étaient mises en place pour assu­rer leur protection.

L’AP conclut que ces manque­ments ont porté atteinte au droit des utili­sa­teurs à une infor­ma­tion claire, trans­pa­rente et faci­le­ment acces­sible, condui­sant à la sanc­tion de Netflix à hauteur de 4,75 millions d’euros.

Cette déci­sion de l’AP soulève la ques­tion de l’harmonisation des exigences entre les diffé­rentes juri­dic­tions euro­péennes. Le niveau d’exigence de l’autorité néer­lan­daise contraste avec les lignes direc­trices du Groupe de travail de l’Article 29, qui mettaient en avant une infor­ma­tion concise, trans­pa­rente, intel­li­gible et faci­le­ment acces­sible et ques­tionne sur la faisa­bi­lité d’une infor­ma­tion à la fois concise et détaillée.

Du côté Suisse, le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence indique qu’au moment de la commu­ni­ca­tion de l’information, le degré de détails de l’information four­nie par le respon­sable de trai­te­ment dépen­dra du type de données person­nelles trai­tées ainsi que de la nature et de l’ampleur du trai­te­ment. Il indique qu’il est par exemple possible que l’on doive infor­mer sur la durée du trai­te­ment ou l’anonymisation de données (alors même que cette infor­ma­tion n’est pas mention­née dans les infor­ma­tions à commu­ni­quer au titre de l’art. 19 LPD). Une inter­pré­ta­tion exten­sive du devoir d’information qui semble aller dans le sens de l’interprétation néerlandaise.