Nouvelle victoire pour noyb

L’organisme de crédit interdit de collecter des données via les demandes d’accès et les registres civils.

 

Il y a deux ans, Noyb a déposé une plainte GDPR contre le courtier en données de crédit KSV 1870. L’agence autrichienne d’évaluation du crédit stockait des données non sollicitées de personnes jusqu’alors inconnues qui exerçaient leur droit légal d’accéder à leurs données. Aujourd’hui, l’autorité autrichienne de protection des données (DSB) a publié sa décision sur cette affaire : l’agence d’évaluation du crédit ne peut pas collecter de données par le biais de demandes d’accès à des registres d’état civil.

Décision de l’ORD autrichien.

L’agence d’évaluation du crédit stocke des données provenant de demandes d’information. Les Européens ont le droit de soumettre une demande d’information aux entreprises pour savoir quelles données sont traitées à leur sujet. Pour confirmer l’identité de la personne, une entreprise demande souvent des données supplémentaires : une pièce d’identité, un nom, une adresse ou une date de naissance, par exemple. Naturellement, les entreprises ne peuvent utiliser ces informations supplémentaires que dans le but de répondre à une demande d’accès et doivent ensuite les supprimer à nouveau. Ce n’est pas le cas du leader du secteur des agences d’évaluation du crédit autrichiennes : KSV 1870 stocke des informations sur les personnes lorsqu’elles demandent l’accès à leurs données.

Approche systématique de la KSV. L’approche du KSV est systématique – nous avons reçu de nombreux cas similaires. Une personne concernée avait déposé une demande d’accès au titre de l’article 15 du GDPR auprès du KSV. L’agence de crédit a répondu qu’aucune donnée personnelle de la personne concernée n’avait été traitée. Du moins jusqu’à présent. Le KSV a fait valoir que les informations supplémentaires fournies par la personne concernée afin de faire valoir son droit d’accès seraient désormais stockées dans la « base de données commerciale ». Mais ce n’est pas tout : avant cela, les informations de la personne concernée provenant de la demande d’accès étaient comparées à ses données dans le registre central des résidents et ajoutées à la base de données des entreprises.

« L’ORD nous a donné raison : Le modèle commercial de KSV 1870, qui consiste à utiliser les demandes d’information des personnes concernées pour enrichir sa base de données économiques, est illégal. Le traitement de toute information supplémentaire provenant du registre civil est également clairement illégal. Nous supposons que, outre la personne que nous représentons, d’innombrables autres Autrichiens sont concernés. Ceux-ci peuvent exiger de la KSV la suppression des données traitées illégalement. » – Marco Blocher, avocat spécialisé dans la protection des données chez noyb.eu

DPA et Noyb sont d’accord : KSV agit de manière illégale. Les actions de KSV violent le principe de limitation de la finalité selon l’article 5, paragraphe 1, point b), du RGPD. Ce principe stipule que les données doivent être collectées dans un but précis. Un traitement ultérieur pour une autre finalité n’est autorisé que s’il est compatible avec la finalité initiale. Le DPD a estimé qu’il n’y avait aucune raison apparente de traiter les données de la demande d’accès aux notations de crédit, et qu’il n’y avait pas non plus de mandat légal pour la collecte générale des données. En outre, le DPD a ordonné la suppression des données obtenues illégalement.

la Noyb surveille de près les négociants en données. Les industries dont l’activité principale est le commerce de données doivent être tenues à des normes particulièrement strictes en matière de protection des données. Le problème est que les agences d’évaluation du crédit ne sont guère réglementées : si elles ne sont autorisées à traiter que les données pertinentes pour la solvabilité, il n’existe aucune définition des informations spécifiques que cela inclut. Comme les agences d’évaluation du crédit ont accès à un grand nombre de données, elles doivent les traiter de manière particulièrement responsable.