Malgré l'adoption du RGPD, les données personnelles continueraient d'être siphonnées sans raison,
Déplore un utilisateur de l'application Spotify

Le , par Christian Olivier, Chroniqueur Actualités
Le suivi des données et de l’activité de l’utilisateur sont des pratiques courantes qui débouchent sur la collecte des données personnelles de l’utilisateur. Habituellement, ces opérations de « tracking » sont effectuées pour améliorer l’expérience utilisateur, développer de nouveaux produits, fournir un meilleur support, créer des modèles marketing et établir de nouveaux canaux de revenus.

Le nouveau règlement de l’Union européenne connu sous le nom de RGPD ou Règlement général sur la protection des données régissant la protection de la vie privée des internautes a donné le droit aux utilisateurs de réclamer l’ensemble des données collectées sur eux par un service ou une entreprise.

Depuis l’entrée en vigueur du RGPD en mai dernier, de nombreuses entreprises technologiques sont désormais tenues de répondre aux demandes des utilisateurs concernant les données stockées à leur sujet sur la ou les plateformes des sociétés concernées.

Récemment, Peter Steinberger, un développeur autrichien et utilisateur de l’application Spotify s’est intéressé aux informations relatives à sa personne en possession de Spotify, une société qui propose des services de streaming de musiques.


Spotify précise sur son site Web qu’il collecte les informations personnelles de ses utilisateurs lors de leur inscription au service qu’il fournit, en scrutant l’utilisation qui est faite de ce service, au moment de fournir des fonctionnalités supplémentaires à l’utilisateur et par le biais de parties tierces (des annonceurs et des partenaires pour l’essentiel).

Pour ses besoins de fonctionnement, Spotify peut collecter les données personnelles suivantes sans l’autorisation de l’utilisateur :

  • votre adresse mail, votre date de naissance, votre sexe, votre code postal et votre pays ;
  • les messages échangés via Spotify et les interactions avec l’équipe de Service Client Spotify ;
  • des données techniques pouvant inclure des informations sur les URL, les données des cookies, votre adresse IP, les types de périphériques que vous utilisez pour accéder ou vous connecter au service ;
  • Les données du capteur mobile générées par les mouvements ou l’orientation pouvant être utiles pour proposer des fonctionnalités spécifiques du service.

Spotify évoque également sur son site des catégories de données personnelles que son service n’est autorisé à recueillir qu’avec le consentement préalable de l’utilisateur. Il s’agit des données mobiles volontaires (incluant les photos, les données vocales et les contacts), des données de paiement, des données relatives aux concours, sondages et tirages au sort et enfin des données marketing.

Avec un peu de patience, Peter Steinberger a réussi à obtenir l’intégralité de son archive de données qui est stockée chez Spotify (environ 250 Mo de données). Il a découvert le suivi intense de toutes les interactions possibles qu’il a pu effectuer sur cette plateforme, avec des détails incluant jusqu’à la manière dont il redimensionne la fenêtre de l’application.


En plus des « éléments utiles et normalement déclarés » que Spotify surveille en permanence, Peter Steinberger s’est rendu compte en décortiquant les archives le concernant que cette appli conserve des traces remarquables d’à peu près tout ce qu’il fait, même lorsque ces éléments peuvent paraitre aux yeux de l’utilisateur complètement inutiles. Il cite, par exemple, la marque des écouteurs qu’il utilise, la façon dont il règle le volume en écoutant une chanson ou encore toutes les interactions imaginables au niveau de l’interface utilisateur (incluant même le redimensionnement des fenêtres).

Il déplore le fait qu’une bonne partie des données collectées par Spotify sont inutiles pour le service et ne sont probablement pas exploitées. Alors que le RGPD était censé recadrer l’activité des entreprises technologiques et réduire certaines pratiques abusives ou inutiles, il semblerait que la stratégie de ces entreprises demeure la même : « collectons tout ce que font nos utilisateurs et nous déciderons quoi en faire plus tard ».


Source : Twitter, Spotify

Et vous ?

Qu’en pensez-vous ?

Voir aussi

« Facebook a découvert mes secrets familiaux et refuse de me dire comment », une utilisatrice s'interroge sur les sources de l'algorithme de Facebook

Facebook : le réseau social achète des données personnelles à des fournisseurs tiers, sans informer les utilisateurs à propos de cette pratique

Des extensions Chrome, ainsi que des apps Android et iOS, ont collecté des données personnelles à l'insu de leurs utilisateurs

« L'extension de navigateur "Stylish" vole votre historique internet », selon un développeur qui la voit désormais comme un logiciel espion


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de JackIsJack JackIsJack - Membre habitué https://www.developpez.com
le 07/08/2018 à 19:36
Ces informations peuvent sembler inutiles un novice en développement (et encore...).

Avec un peu d'imagination on conçeoit facilement que ces informations telles que la marque du téléphone ou la méthode de redimensionnement d'une fenêtre peuvent servir à caractériser des bugs, ou des usages afin d'améliorer les services.

Le RGPD ne cessera d'alimenter des débats stériles portés par des paranoïaques en manque d'égo.
Avatar de 7gyY9w1ZY6ySRgPeaefZ 7gyY9w1ZY6ySRgPeaefZ - Membre expert https://www.developpez.com
le 07/08/2018 à 20:22
Citation Envoyé par JackIsJack Voir le message
Avec un peu d'imagination on conçoit facilement que ces informations telles que la marque du téléphone ou la méthode de redimensionnement d'une fenêtre peuvent servir à caractériser des bugs, ou des usages afin d'améliorer les services.
Surtout utile lors de la vente des données à une tierce partie.
Avatar de Jipété Jipété - Expert éminent https://www.developpez.com
le 07/08/2018 à 22:43
Citation Envoyé par JackIsJack Voir le message
ces informations telles que la marque du téléphone ou la méthode de redimensionnement d'une fenêtre peuvent servir à caractériser des bugs, ou des usages afin d'améliorer les services.
Bon, faut arrêter les délires, là, et que les marketeux reviennent sur Terre : en quoi la méthode de redimensionnement d'une fenêtre (par "tirage" du coin inférieur droit ou par le bouton maximiser) pourrait-elle être utilisée pour améliorer les services ? Quels services ? Le service de redimensionnement ?

Allez-y, expliquez-moi.

Je suis cool, je vous donne une piste : des fois j'utilise une méthode, et des fois j'utilise l'autre. Ça dépend du temps qu'il fait, de l'heure qu'il est, et de l'âge du capitaine multiplié par 42. Ou divisé par Pi. Ou l'inverse.
Avatar de Aiekick Aiekick - Membre chevronné https://www.developpez.com
le 08/08/2018 à 1:00
le RGPD est bien beau, on savait depuis le début que les sanctions seraient difficilement applicables, et qu'au fond, les boites qui ne sont pas européennes et encore s'en foutent royalement.
comme d'hab c 'est toujours l'europe qui pâtit des mesures prises par l'europe. le reste du monde s'en fou et ce marre bien au passage.
un jour faudrait qu'on arrête de ce tirer un balle dans le pied. pourquoi ne pas etre aussi pute que la chine ou les ricains ? apres tout si ca marche ? on est pas dans un monde de bisounours
Avatar de 4sStylZ 4sStylZ - Membre éclairé https://www.developpez.com
le 08/08/2018 à 10:00
Bon, faut arrêter les délires, là, et que les marketeux reviennent sur Terre : en quoi la méthode de redimensionnement d'une fenêtre (par "tirage" du coin inférieur droit ou par le bouton maximiser) pourrait-elle être utilisée pour améliorer les services ? Quels services ? Le service de redimensionnement ?

Allez-y, expliquez-moi.
Permet moi de faire l’avocat du diable. Pour info je ne soutiens pas forcément dans sa démarche mais que je préfère analyser sans émotion pour mieux le comprendre.

Cela peut servir à ça :

1) Pouvoir prendre des décisions UX, arbitrer entre deux systèmes de redimensionnement ou évaluer l’autonomie de l’utilisateur à manipuler l’applications. Perso en tant que PO j’aurai aimé avoir les moyens de faire ça dans mon appli, de mesurer l’usage des features pour mieux les connaitre. Et ce n’est pas du tout à des fins de revendre ces infos.
2) Les données peuvent être aussi constamment stockées mais utilisées seulement pour des périodes ou il font de l’AB-testings d’une interface à un groupe d’utilisateurs éxposés et un groupe témoins.
La seconde proposition serait assez surprenante car elle nécessite encore plus de moyen…

Si la question c’est pourquoi ces données pourraient améliorer le service, et bien c’est en permettant le développement de meilleurs interfaces.

Pour la marque des écouteurs cela peut servir à des partenaires commerciaux mais il y a aussi le cas de la gestion des écouteurs analogiques qui ne sont pas du tout étalonnés comme les autres pour le volume sonores. En fait si norme il y a, elle n’est parfois pas suivie sur le volume. (cela devient rare en 2018, presque plus d’écouteurs ont un son trop important ou trop faible)

En stockant les écouteurs tu peut faire des stats dessus. Si ton parc fait plus de 20% d’écouteurs à priori pas du tout au même volume que les autres alors tu peut arbitrer une feature permettant logiciellement de gérer ses écouteurs et donc d’améliorer l’éxperience utilisateurs.
Avatar de Saverok Saverok - Expert éminent https://www.developpez.com
le 08/08/2018 à 14:41
Citation Envoyé par Aiekick Voir le message
le RGPD est bien beau, on savait depuis le début que les sanctions seraient difficilement applicables, et qu'au fond, les boites qui ne sont pas européennes et encore s'en foutent royalement.
comme d'hab c 'est toujours l'europe qui pâtit des mesures prises par l'europe. le reste du monde s'en fou et ce marre bien au passage.
un jour faudrait qu'on arrête de ce tirer un balle dans le pied. pourquoi ne pas etre aussi pute que la chine ou les ricains ? apres tout si ca marche ? on est pas dans un monde de bisounours
La RGPD est entré en application seulement depuis le 25 mai 2018, c'est pas un peu tôt pour se montrer alarmiste, non ?
Tu pensais que ça serait appliqué instantanément et qu'on aurait les premières sanctions dès le 26 mai peut être ?

Pour commencer, faut que la CNIL se penche sur un cas et ouvre une inspection.
Déjà là, tu peux compter plusieurs mois étant donnée les moyens attribués aux CNIL des différents pays.
Ensuite, une fois le dossier constitué, il passe en commission pour établir si les premières constatations sont suffisantes pour ouvrir une enquête officielle approfondie. Là encore, compte plusieurs semaine le temps de débattre (n'oublie pas que c'est des fonctionnaires de l'administration, ils ont le temps )
Si le dossier est validé, faut qu'ils aillent au siège du site et poursuivre l'enquête sur place.
Une fois le dossier complété, là encore, compte plusieurs semaines, il est présenté en commission interne à la CNIL pour établir le préjudice. Encore une fois, compte plusieurs semaines.
Puis, y a une mise en demeure du site qui dispose de X semaines / mois (celons les cas) pour corriger les points.
Une fois le délais atteint, nouvelle enquête pour mesurer les efforts effectués et si tous les points ont été rectifiés ou pas, compte encore quelques semaines.
Si l'entreprise a fait des efforts mais n'a pas tout corrigé, la CNIL est clémente et donne un nouveau délai pour corriger les points restants.
Celons les cas, et la bonne foi de l'entreprise, le délais peut être renouvelé ainsi plusieurs fois.
Et si seulement au bout du compte, ce n'est tjrs pas bon, nouvelle commission à la CNIL pour déterminer la peine à appliquer. Encore quelques semaines au compteur.
Et là, y a sanction.
Mais ça ne s'arrête pas là car l'entreprise peut faire appel donc on peut encore faire durer la procédure quelques mois de plus...

Bref, tu l'auras compris, les premières sanctions publiques pour manquement au RGPD ne tomberont pas avant le premier trimestre 2019, dans le meilleurs des cas.

A titre d'exemple, Optical center a été sanctionné par la CNIL le 7 juin 2018 pour un défaut de sécurité constaté en 2015 (avant le RGPD) ==> https://www.cnil.fr/fr/optical-cente...lients-du-site
Note : y avait eu une première amende de 50k€ restée confidentielle entre la sanction publique de 2018 mais ça donne tout de même une idée de la lenteur du processus
Avatar de Aiekick Aiekick - Membre chevronné https://www.developpez.com
le 08/08/2018 à 21:46
je ne me montre pas alarmiste, je critique cette mesure, car comme beaucoup d'autres mesures, est d'un point de vue éthique super, mais d'un point de vue pratique sans effets ou non applicables.

les seuls société qui ne peuvent pas prendre le risque de ne pas s'y conformer sont les toutes petites et ça leur génère des cout au passage non négligeable.
alors qu'elle est plus fait a la base pour contraindre les grosses qui eux s'en fichent.

comme tu le montre le processus est long pendant ce temps le sniffing de données continue, une fois qu'elle ce seront faite épinglées elle diront ok oups on avais pas vu. et feront durer le prcoessus un max.
et après quoi si la dite société (ricaine de surcroit) refuse quand même de payer ? que ce passe t'il ? les taxer a mort ?
c'est les européens qui seront perdant. les priver du marqué européens? si tu privent google par ex du marche européens, ya un secteur colossal qui ce casse la gueule, vu qu'ils sont partout.
google pourrait très bien transformer ces services gratuit en services payant pour 'leurope (par ex comme google maps), ou nous contraindre a des license d’utilisation pire que celle de win10 pour pouvoir continuer a sniffer en toute légalité sans qu'on ai encore moins de contrôle.
c'est surement pas ce que l’Europe veux. donc les GAFAM sont intouchables.. ceux qui vont trinquer c'est les petits et c'est pas vraiment de eux que vient le plus gros danger.

les monopoles ca a toujours été chiant, google a utilisé le gratuit pour devenir incontournable, comme microsoft a fait un logiciel facilement pirattable pour l'etre tout autant, au final ils sont gagnant. le pire est a venir.
on est tellement dépendant d'eux a de multiples niveau, qu'a moins qu'on ce coupe d’internet compléments, on ne peux pas leur échapper. je suis même pas sur qu'on puisse ce couper d'internet, tant nombre de services ne sont accessible que sur le net.

je maintient donc ma critique.
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 08/08/2018 à 21:57
Citation Envoyé par Aiekick Voir le message
mais d'un point de vue pratique sans effets ou non applicables.
Parce que… ?

Citation Envoyé par Aiekick Voir le message
alors qu'elle est plus fait a la base pour contraindre les grosses qui eux s'en fichent.
Et pourquoi elles s'en ficheraient ?

Citation Envoyé par Aiekick Voir le message
et après quoi si la dite société (ricaine de surcroit) refuse quand même de payer ? que ce passe t'il ? les taxer a mort ?
Ce n'est pas plus problématique que pour mettre des amendes à Google, ce qui a déjà été fait.
De même quand l’Amérique a mis une très forte amende au crédit populaire (de souvenir).

Citation Envoyé par Aiekick Voir le message
c'est les européens qui seront perdant. les priver du marqué européens
Le Japon a aussi/va avoir des lois similaires dans ce domaine.
Certains États d'Amériques y pensent aussi.

Citation Envoyé par Aiekick Voir le message
si tu privent google du marche européens, ya un secteur colossal qui ce casse la gueule.
Et bien ça fera vivre les alternatives et brisera le monopole de Google, c'est pas plus mal.

Citation Envoyé par Aiekick Voir le message
donc les GAFAM sont intouchables..
Ce n'est pas vraiment ce qu'on a pu voir avec les précédentes sanctions, quoique faibles vis à vis de la taille des entreprises visées.
Avatar de Aiekick Aiekick - Membre chevronné https://www.developpez.com
le 08/08/2018 à 21:59
ah tient, je viens de me chopper un troller. pas le temps de perdre de l'énergie sur ton post.
Avatar de xmornard xmornard - Membre à l'essai https://www.developpez.com
le 09/08/2018 à 9:17
Le problème dans les données collectés, ce n'est pas nécessairement le fait qu'elles soient très riches (comme par exemple le positionnement des fenêtres) mais dans le fait qu'on puisse les rattacher à une personne physique.
Dans le cas par exemple de la sauvegarde de la position des fenêtres, si c'est pour étudier comment les utilisateurs s'approprient le site, pourquoi pas, mais dans ce cas on a pas besoin de rattacher ces données à chaque utilisateur. Il suffit de stocker ces informations ou bien non rattaché à un utilisateur, ou bien a une utilisateur "virtuel" non rattaché à un utilisateur réel. De même pour la marque des écouteurs; si le but est de connaître si tel ou tel marque pose des problème de fonctionnement, on a pas besoin de savoir à quelle personne cela pose des problèmes...

Le RGPD n'a jamais empêché de récupérer des informations exhaustives sur l'utilisateur, du moment que ces informations ne soient pas rattachées explicitement aux utilisateurs en vue de leur utilisation par exemple d'un point de vue commercial.
Contacter le responsable de la rubrique Accueil