Le procureur général du Texas poursuit Netflix pour collecte secrète de données d'utilisateurs

Ce que le Texas reproche à Netflix

Le procureur général du Texas, Ken Paxton, a déposé une plainte contre Netflix, accusant le géant du streaming de collecter et de vendre secrètement des données d'utilisateurs à l'insu de ses abonnés et sans leur consentement, y compris celui des enfants. Le procès concernant la collecte de données des utilisateurs de Netflix allègue que Netflix a enregistré et monétisé des milliards d'informations personnelles, une pratique que l'État qualifie d'«espionnage» des Texans.

Le cœur de la plainte porte sur les lois texanes relatives à la protection de la vie privée des consommateurs, qui exigent des entreprises qu'elles soient transparentes sur la manière dont elles recueillent des informations personnelles et qu'elles obtiennent un consentement éclairé avant de vendre ou de transférer ces données à des tiers. Si les allégations se confirment, Netflix pourrait faire face à d'importantes sanctions financières et être contraint de modifier l'ensemble de ses pratiques en matière de gestion des données. Netflix n'a publiquement reconnu aucun acte répréhensible, et l'affaire va désormais suivre son cours devant les tribunaux.

Cette poursuite judiciaire constitue l'une des actions coercitives les plus agressives menées au niveau d'un État contre une grande plateforme de streaming ces dernières années. Elle indique que les procureurs généraux des États sont de plus en plus disposés à s'en prendre à des entreprises technologiques de premier plan pour des pratiques en matière de données qui étaient autrefois tacitement acceptées comme le prix à payer pour utiliser un service gratuit ou par abonnement.

Quelles données Netflix aurait-il collectées et vendues

Selon les allégations, Netflix est allé bien au-delà de la collecte d'informations de base sur les comptes. La plainte fait état du suivi des habitudes de visionnage détaillées, des comportements et d'activités potentiellement sensibles des utilisateurs — des données qui dressent un portrait précis du quotidien, des préférences et des habitudes d'un abonné.

Ce niveau de détail a une valeur commerciale évidente. Les annonceurs, les courtiers en données et les sociétés d'analyse paient des sommes considérables pour des profils comportementaux construits à partir de l'activité de streaming. Ce qu'une personne regarde, à quel moment, combien de temps elle s'attarde sur certains contenus et ce qu'elle abandonne en cours de route peut révéler une quantité surprenante d'informations sur son mode de vie, ses centres d'intérêt en matière de santé et même ses opinions politiques.

L'inclusion des enfants dans les allégations aggrave considérablement la situation. La législation fédérale impose déjà des limites strictes à la collecte de données auprès des utilisateurs de moins de 13 ans via le Children's Online Privacy Protection Act (COPPA), et de nombreux États ont ajouté des protections supplémentaires à ce cadre. Si Netflix a collecté et vendu des données liées à des mineurs sans les garanties appropriées, cela constituerait une violation grave des cadres juridiques fédéral et étatiques.

Comment les plateformes de streaming monétisent les données des spectateurs à leur insu

Netflix n'évolue pas dans un vide. L'industrie du streaming dans son ensemble a mis en place des pipelines de données de plus en plus sophistiqués qui transforment le visionnage passif en un actif monétisable. Lorsque les plateformes ont introduit des offres financées par la publicité, elles ont formalisé ce qui était depuis longtemps une pratique informelle : l'utilisation de données comportementales pour cibler la publicité et en mesurer l'efficacité.

Mais l'économie des données autour du streaming va bien au-delà de la publicité sur la plateforme. Les données des abonnés, souvent dépouillées d'identifiants évidents mais toujours riches en signaux comportementaux, peuvent être partagées avec ou vendues à des partenaires tiers — studios de contenu, sociétés d'études de marché et courtiers en données — qui les combinent ensuite avec d'autres ensembles de données pour réidentifier les individus. Les utilisateurs voient rarement tout cela clairement divulgué dans les conditions d'utilisation, et les mécanismes de consentement enfouis dans de longues politiques de confidentialité ne sont pas équivalents à un consentement éclairé et significatif.

Ce schéma de mauvaise gestion des données d'entreprise n'est pas propre au secteur du divertissement. Les conséquences d'une collecte massive de données devenant une source de responsabilité peuvent être graves et de grande portée, comme en témoigne l'exposition des données sensibles liées au gouvernement de 25 millions d'Américains dans la violation de données Conduent — un rappel cinglant qu'une fois les données collectées et partagées, il devient presque impossible de contrôler où elles finissent.

Les régulateurs se débattent également avec des tensions connexes dans d'autres domaines de la collecte de données en ligne. Les débats autour des lois sur la vérification de l'âge dans le monde entier illustrent la difficulté de concilier la protection des utilisateurs avec les risques pour la vie privée introduits par les systèmes conçus pour protéger les gens.

Pourquoi les promesses des entreprises en matière de confidentialité ne suffisent pas, et ce que vous pouvez faire

Le procès du Texas contre Netflix rappelle que les politiques de confidentialité et les engagements des entreprises ne constituent pas des garanties. Les entreprises peuvent et modifient effectivement leurs pratiques en matière de données, souvent par des mises à jour discrètes des conditions d'utilisation que les utilisateurs ne lisent jamais. Les mesures coercitives n'interviennent qu'après coup, ce qui signifie que vos données ont peut-être déjà été collectées, vendues et intégrées dans des dizaines de profils tiers avant qu'une action en justice ne commence.

Les 10 millions de dossiers exposés dans la violation de données de santé de Conduent illustre précisément ce point : une fois que les données quittent les mains d'une entreprise — que ce soit par une vente, une violation ou un partenariat — les abonnés n'ont pratiquement aucune possibilité de les récupérer.

Alors, que pouvez-vous faire concrètement ? Voici des mesures pratiques :

• Vérifiez vos paramètres de confidentialité sur chaque plateforme de streaming que vous utilisez. La plupart offrent désormais une certaine capacité à limiter le suivi publicitaire ou à vous désinscrire du partage de données, bien que ces paramètres soient rarement activés par défaut.
• Utilisez une adresse e-mail distincte pour vos abonnements de divertissement afin de limiter la mise en relation de données entre plateformes.
• Vérifiez si votre État vous accorde un droit de désinscription en matière de confidentialité. La Californie, le Texas, la Virginie et plusieurs autres États donnent désormais aux résidents le droit de demander aux entreprises de cesser de vendre leurs informations personnelles.
• Envisagez sérieusement les demandes de suppression de données. En vertu de plusieurs lois étatiques, vous pouvez demander à une entreprise de supprimer les données qu'elle détient sur vous.
• Méfiez-vous des offres financées par la publicité. Les abonnements moins coûteux avec publicité sont souvent subventionnés précisément parce qu'ils permettent une collecte de données plus agressive.

L'issue du procès du Texas contre Netflix mérite d'être suivie attentivement. Une décision ou un règlement significatif pourrait créer un précédent quant à la manière dont les plateformes de streaming gèrent les données de leurs abonnés à l'échelle nationale. En attendant, la protection de la vie privée la plus fiable n'est pas la promesse d'une entreprise ; ce sont vos propres choix éclairés concernant les données que vous partagez et avec qui vous les partagez.