Le site de streaming musical français, DEEZER, a publié un communiqué le 14 novembre 2022 pour indiquer que des données personnelles de ses clients avaient été dérobées en 2019, soit trois ans plus tôt.

Ce communiqué est laconique et ne permet pas aux clients (et ex-clients) de comprendre précisément ce qu’il s’est passé ni de savoir s’ils ont été victimes de cette violation de données.

Le communiqué n’indique pas, non plus, que quelques jours plus tôt, un internaute avait mis en vente un jeu de données contenant vraisemblablement des données sur plus de 200 millions utilisateurs de DEEZER.

Une plainte a été déposée à la CNIL pour demander que des informations claires et précises soient communiquées aux personnes et pour demander l’ouverture d’une investigation sur les mesures de sécurité prises par DEEZER pour assurer la confidentialité des données.

Chronologie des événements :

  • le 06/11/2022, un internaute met en vente un jeu de données contenant vraisemblablement des données sur plus de 200 millions d’utilisateurs de DEEZER.
  • le 14/11/2022, la société a révélé qu’une violation de données est intervenue en 2019 chez un de ses sous-traitant. Voir « DEEZER – Des données des clients dérobées ».
  • le 04/01/2022, une plainte a été déposée à la CNIL (réf. 44-10022) (Voir le contenu de la plainte).