Vincent Gautrais

Catalina Castillo Triviño est étudiante dans le cadre du cours DRT6929E (Vie privée + numérique). 

Le 18 décembre 2024, l’Autorité néerlandaise de protection des renseignements personnels (dorénavant l’Autorité néerlandaise de PRP) a informé le public de l’imposition d’une sanction de 4.750.000 euros à Netflix International B.V. (dorénavant Netflix) pour non-respect de son obligation d’information. En particulier, l’Autorité néerlandaise de PRP a affirmé que Netflix avait insuffisamment informé ses consommateurs dans sa politique de confidentialité concernant :

« a. les finalités et la base juridique du traitement des renseignements personnels; b. les parties auxquelles Netflix transmet des renseignements personnels; c. la durée de conservation des renseignements personnels; et d. les garanties en cas de transfert des renseignements personnels vers des pays tiers. » (notre traduction).

1. Début de l’enquête administrative

L’Organisation non gouvernementale autrichienne None of Your Business (dorénavant NOYB) a déposé une plainte contre Netflix auprès de l’Autorité autrichienne de protection des renseignements personnels. D’après NOYB, Netflix a répondu à la demande d’accès de deux consommateurs sans fournir suffisamment d’informations concernant le traitement de leurs renseignements personnels.

Selon l’Autorité néerlandaise de PRP, le Règlement général sur la protection des données (dorénavant RGPD) établit que :

« (…) les entreprises qui traitent des renseignements dans plusieurs États membres de l’Union européenne sont responsables uniquement auprès d’une autorité de protection des renseignements personnels : l’autorité du pays dans lequel l’entreprise a son principal établissement » (notre traduction).

Ainsi, l’Autorité autrichienne de protection des renseignements personnels a soumis la plainte à l’Autorité néerlandaise de PRP, puisque l’établissement principal de Netflix en Europe se trouve aux Pays-Bas.

2. La réponse de Netflix aux accusations

Netflix a soutenu que l’Autorité néerlandaise de PRP l’a conduit à une incertitude juridique en raison de son interprétation stricte de ses obligations concernant la protection des renseignements personnels.

Concernant le processus de traitement des renseignements personnels, Netflix a souligné que celui-ci n’est pas compliqué, car :

« Ce processus consiste à s’inscrire aux services offerts par Netflix. Le consommateur doit fournir des renseignements personnels et des détails de paiement et accepter les termes et conditions que Netflix applique à ses services » (notre traduction).

Étant donné que, depuis mai 2018, Netflix a expliqué de manière exhaustive et compréhensible comment son système de recommandation fonctionne par le biais de son centre d’aide, l’entreprise a considéré que « l’utilisation de renseignements personnels en lien avec les recommandations est simple et cohérente » (notre traduction).

Finalement, Netflix a précisé qu’elle n’est pas tenue d’inclure une liste exhaustive des opérations de traitement des renseignements personnels dans sa politique de confidentialité.

3. Les enjeux juridiques de la politique de confidentialité de Netflix examinée dans l’arrêt

Voici les aspects omis par Netflix qui ont conduit à une atteinte aux droits des consommateurs en méconnaissant le RGPD :

3.1. Le traitement des renseignements personnels :

L’Autorité néerlandaise de PRP a souligné que Netflix n’a pas indiqué clairement :

 « (…) quels renseignements sont utilisés pour recommander les services offerts, analyser les groupes cibles et prévenir la fraude. Par ailleurs, Netflix n’a pas précisé quels renseignements personnels l’entreprise reçoit le biais de tierces parties (…) pour déterminer la localisation géographique des personnes concernées » (notre traduction).

Dans le cas d’espèce, Netflix s’est limité à indiquer des exemples et la base juridique pour la collecte des renseignements personnels, dans le but de remplir son obligation d’information sur les finalités du traitement des renseignements personnels dans sa politique de confidentialité.

3.2. Les destinataires des renseignements personnels :

D’après l’Autorité néerlandaise de PRP, Netflix doit informer les consommateurs sur l’identité des destinataires de leurs renseignements personnels dans sa politique de confidentialité et fournir cette information sur demande. En effet, l’Autorité néerlandaise de PRP a signalé que :

« Selon le principe d’équité, Netflix doit fournir des informations sur les destinataires des renseignements personnels le plus pertinentes pour les consommateurs » (notre traduction).

Étant donné que Netflix a inclus dans sa politique de confidentialité un lien vers un article d’aide contenant la liste des destinataires des renseignements personnels le 7 juillet 2022, l’Autorité néerlandaise de PRP a considéré que la méconnaissance du RGPD avait cesse à cette date.

3.3. Le transfert international des renseignements personnels

L’Autorité néerlandaise de PRP a précisé que Netflix a omis de: 1) indiquer les droits des consommateurs lorsque leurs renseignements personnels sont traités en dehors l’Union européenne; 2) spécifier les pays, hors l’Union européenne, vers lesquels les renseignements personnels sont transmis, ainsi que 3) mentionner les mesures de protection appropriées et les modalités permettant aux consommateurs de les consulter.

Or, le 7 juillet 2022, Netflix a inclus dans sa politique de confidentialité :

• Un lien vers un document de questions fréquentes de la Commission européenne contenant les droits des consommateurs lorsque leurs renseignements personnels sont transmis internationalement, et
• Un lien vers un article d’aide contenant la liste des pays vers lesquels les renseignements personnels sont transmis.

Ainsi, l’Autorité néerlandaise de PRP a souligné que, depuis le 7 juillet 2022, Netflix n’a pas respecté l’obligation d’informer sur les mesures de protection appliquées lors des transferts internationaux.

3.4. La durée de conservation des renseignements personnels

Selon l’Autorité néerlandaise de PRP, Netflix n’a pas indiqué de manière équitable et transparente aux consommateurs les périodes pendant lesquelles leurs renseignements personnels seraient conservés, que ce soit dans la politique de confidentialité ou dans la réponse à la demande d’accès.

À notre avis, cet arrêt constitue une ligne directrice pour la rédaction des politiques de confidentialité et apporte une sécurité juridique notable. Dans certains cas, il n’est pas clair pour les entreprises comment protéger les renseignements personnels, étant donné que l’article 5 du RGPD établit que leur responsabilité dépend de leur capacité à démontrer le respect des principes du RGPD (la règle d’accountability). Ainsi, l’identification et la compréhension des étapes du processus de traitement des renseignements personnels sont essentielles pour informer les personnes concernées de leurs droits, des opérations effectuées et les tiers susceptibles d’accéder à ces renseignements. En d’autres termes, il s’agit de fournir des informations transparentes et complètes, plutôt que de rédiger la politique de confidentialité comme une simple formalité.

Note : Cet article a été illustré et révisé linguistiquement en français avec l’assistance de ChatGPT.

Ce contenu a été mis à jour le 13 février 2025 à 22 h 34 min.