Plainte n° 44-10022 du 4 janvier 2022 concernant la société DEEZER

1. DEEZER SA (ci-après « DEEZER ») est une société française de streaming musical. La société propose des abonnements gratuits et payants pour accéder à un catalogue musical. La société édite le site Internet « deezer.com ».

2. Le 14 novembre 2022, la société DEEZER a publié^[1] son site Web un communiqué (cf. Annexe 1) pour informer ses clients, et ex-clients, que « que l’un de [ses] partenaires a subi une fuite de données en 2019 », c’est-à-dire trois ans plus tôt.

Dans ce communiqué, la société précise notamment que les données concernées sont « des informations basiques [sic] telles que le nom et le prénom, la date de naissance et l’adresse électronique » des clients.

Le communiqué ne précise toutefois pas que, quelques jours avant la publication du communiqué, le 6 novembre 2022, un internaute avait posté un message (cf. Annexe 2) sur un site spécialisé dans la vente de données personnelles indiquant qu’un jeu de données était mis en vente. D’après l’internaute, ce jeu de données contiendrait des données sur plus 200 millions utilisateurs de DEEZER, dont 46 millions utilisateurs français.

Toujours d’après l’internaute, le jeu de données contiendrait le nom et prénom des clients, le sexe, la date de naissance, l’adresse électronique, la localisation (ville et pays), la date d’inscription, les adresses IP utilisées et des informations sur les appareils utilisés.

Un échantillon des données mises en vente est également proposé gratuitement par l’internaute pour légitimer ses propos. D’après le site Web RestorePrivacy.com^[2], qui a consulté les données proposées, cet échantillon contiendrait des données sur 5 millions utilisateurs de DEEZER.

3. Le site spécialisé HaveIBeenPwned.com (HIBP), qui propose un site (populaire) permettant aux internautes de savoir s’ils ont été victimes d’une fuite de données, a manifestement eu accès au jeu de données intégral et l’a intégré à son site. D’après HIBP^[3], le jeu de données contiendrait 229 037 936 adresses e-mails uniques, mais aussi le nom et prénom des clients, le sexe, la date de naissance, l’adresse e-mail, la localisation (ville et pays), la date d’inscription et les adresses IP utilisées.

4. La société DEEZER n’a pas informé individuellement les personnes concernées par cette fuite de données, comme l’attestent les dizaines de messages postés^[4] par les internautes sur les réseaux sociaux suite à l’alerte envoyée par le site HIBP.

5. Suite à la révélation de cette violation de données, des internautes ont été étonnés de voir leurs données à caractère personnel intégrées dans le jeu de données alors que leur compte avait été clôturé avant la date supposée de la fuite de données (2019).

Par exemple, l’internaute nommé [RETIRÉ] a indiqué^[5] sur les réseaux sociaux avoir annulé son abonnement en 2011. La société DEEZER lui a, par ailleurs, confirmé que son compte avait été supprimé en 2015, c’est-à-dire quatre ans avant la date supposée de la fuite de données. Or, ses données étaient dans le jeu de données mis en vente.

Autre exemple, l’internaute nommé [RETIRÉ] a indiqué^[6] être dans le jeu de données fuité, alors que DEEZER lui a confirmé que son compte avait été supprimé en 2014, c’est-à-dire cinq ans avant la date supposée de la fuite de données.

6. L’article 34-1 du Règlement général sur la protection des données (RGPD) indique, concernant l’information des personnes en cas de violation de données à caractère personnel :

L’article 34-2 poursuit en détaillant notamment la manière dont l’information doit être donnée :

Enfin, l’article 34-3 détaille les critères permettant aux responsables de traitement de ne pas procéder à une telle communication :

7. Les informations contenues dans les données mises en vente contiennent le nom et prénom des clients, le sexe, la date de naissance, l’adresse e-mail, la localisation (ville et pays), la date d’inscription et les adresses IP utilisées. Ces informations doivent être qualifiées de données à caractère personnel, puisqu’elles se rapportent à des personnes physiques clairement identifiées par leur nom, prénom et adresse électronique.

La divulgation de ces données est « susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique » pour plusieurs raisons :

Premièrement, les données mises en vente contiennent le nom et le prénom des personnes, ce qui permet d’identifier très facilement les personnes concernées.

Deuxièmement, les données mises en vente contiennent le nom de la ville et du pays des personnes, ce qui facilite grandement leur localisation géographique.

Troisièmement, les données mises en vente contiennent les adresses IP utilisées par les personnes, ce qui peut d’une part permettre de localiser les lieux ou organismes qu’elles fréquentent, et donc connaître leurs habitudes de vie et peut, d’autre part, permettre d’accéder, par voix électronique, à leur équipement, dans la mesure où la majorité des adresses IP domestiques utilisées sont des adresses IP fixes.

Quatrièmement, les données mises en vente contiennent l’adresse électronique, ce qui permet de contacter facilement les personnes concernées.

Cinquièrement, les données mises en vente contiennent la date de naissance des personnes, ce qui permet non seulement de réaliser leur profil, mais également de leur adresser des communications ciblées.

Enfin, le volume des données, à savoir plus de 200 millions de personnes, augmentent ces risques puisqu’une personne malintentionnée pourrait procéder à des recoupements et déduire, par exemple, les personnes qui fréquentent les mêmes lieux à partir de leur localisation ou de leur adresse IP. Ce grand volume de données permet également de créer des listes de diffusions massives, selon des critères précis comme l’âge de la personne ou les lieux qu’elle fréquente.

En outre, la présence de l’adresse électronique dans le jeu de données mis en vente permet à la société DEEZER de communiquer facilement avec les personnes concernées, en leur écrivant un courrier électronique adressé personnellement. Le nombre élevé de personnes concernées ne devrait pas être un frein pour une société comme DEEZER, qui envoie probablement plusieurs dizaines de millions d’e-mails tous les jours à ses clients. La société ne peut par conséquent pas légitimement recourir aux dégorations de l’article 34-3 pour ne pas procédéder à une telle communication.

8. Pour toutes ces raisons, la violation de données à caractère personnel devrait être jugée comme « susceptible d’engendrer un risque élevé » et la société DEEZER aurait dû communiquer cette violation de données aux personnes concernées, ce qu’elle n’a pas fait.

9. En ne communiquant pas cette violation de données à caractère personnel aux personnes concernées, la société DEEZER enfreint l’article 34 du RGPD.

10. La société DEEZER a publié un communiqué (cf. §2) dans lequel la terminologie utilisée est peu claire, et dans lequel les informations données ne semblent pas fondées. La société DEEZER a par exemple écrit :

- « une partie des informations non sensibles de nos utilisateurs a été exposée » : DEEZER juge que les données fuitées sont « non sensibles », ce qui n’est pas fondé. Pour certaines personnes, les données fuitées, notamment la localisation ou l’adresse IP, peuvent être jugées sensibles. Cette caractérisation semble avoir été insérée dans le communiqué pour minimiser la gravité des faits. Aussi, le terme « exposé » n’est pas clair. Il est difficile de définir ce que veut dire que « des informations exposées », aussi bien pour des initiés que pour des non-initiés.

- « Bien que nous ne soyons pas au courant d’une utilisation abusive de ces données » : DEEZER affirme ne pas être au courant d’une utilisation abusive des données fuitées. Pourtant, quelques jours avant la publication du communiqué, un internaute avait mis le jeu de données en vente (cf. §2). Il est difficile de croire que la société DEEZER n’était pas informée d’un tel fait.

- « Les données qui pourraient avoir été exposées comprennent des informations basiques telles que le nom et le prénom, la date de naissance et l’adresse électronique. » : Premièrement, DEEZER affirme à présent que les informations fuitées sont « basiques ». Ce jugement est, encore une fois, infondé, comme l’était le caractère « non sensible » des données. Deuxièmement, DEEZER affirme que certaines données « pourraient avoir été exposées ». L’utilisation du conditionnel laisse entendre que la fuite de données est éventuelle. Or, au même moment, un énorme jeu de données est en vente. Troisièmement, la liste des données susceptibles d’avoir fuité ne semble pas exhaustive, car elle ne mentionne pas certaines des données contenues dans le jeu de données mis en vente.

Par ailleurs, les informations communiquées par la société DEEZER ne permettent pas aux clients de savoir s’ils sont victimes de cette fuite de données. Le communiqué laisse entendre que les personnes qui possédaient un compte chez DEEZER en 2019 sont victimes de cette fuite. Or, les réactions des internautes montrent que des personnes dont les données avaient été supprimées avant 2019 étaient inclues dans le jeu de données mis en vente. Deux personnes (cf. §2) ont eu, par exemple, confirmation que leur compte et données avaient été supprimés par DEEZER en 2014 et 2015, c’est-à-dire cinq et quatre ans avant la date annoncée par DEEZER. Leurs données étaient pourtant dans le jeu de données mis en vente.

Ces éléments amènent à deux conclusions possibles : soit les informations communiquées par DEEZER ne reflètent pas la réalité, soit DEEZER a conservé des données en affirmant les avoir supprimées. Une investigation devrait être réalisée par la CNIL pour expliquer ce point.

Enfin, les informations communiquées par la société DEEZER ne permettent pas aux personnes d’évaluer les conséquences de cette fuite de données. La société n’indique pas, par exemple, le volume, vraisemblablement énorme, des données fuitées.

11. En communiquant des informations peu claires, la société DEEZER enfreint l’article 34 du RGPD.

12. Le jeu de données mis en vente contiendrait des données sur plus de 200 millions de personnes. Si ces données sont effectivement issues des systèmes de DEEZER, ou d’un sous-traitant agissant pour le compte de DEEZER, il est légitime de remettre en question l’efficacité des mesures de sécurité prises par la société, notamment les mesures visant à garantir la confidentialité des données. La CNIL devrait réaliser une investigation et devrait déterminer si les mesures prises par la société sont conformes aux exigences du RGPD.

13. La société DEEZER devrait communiquer, à chaque personne concernée par la fuite de données, des informations claires et facilement compréhensibles.

14. La CNIL devrait procéder à une investigation pour déterminer comment DEEZER traite les données à caractère personnel de ses utilisateurs, et déterminer si les mesures de sécurité prises par la société DEEZER, notamment les mesures visant à garantir la confidentialité des données, étaient conformes aux exigences du RGPD.

Annexes jointes :

- ANNEXE 1 : Communiqué relatif à la fuite de données posté par DEEZER SA le 14 novembre 2022
- ANNEXE 2 : Message posté par un internaute pour partager la mise en vente d’un jeu de 200+ millions de données issues de Deezer.com