Un marchand d'adresses poursuit la DPA allemande pour empêcher noyb d'accéder à des fichiers
Il y a deux ans, noyb a déposé une plainte contre le marchand d'adresses Acxiom et l'agence de référencement CRIF en Allemagne. Bien qu'il existe des preuves solides que le commerce à grande échelle des données personnelles de ces entreprises viole le GDPR, l'affaire est toujours en cours auprès des DPA de Bavière et de Hesse. Au printemps 2023, noyb a donc demandé à l'autorité de la Hesse d'accéder au dossier de la plainte déposée par Acxiom. Le négociant en adresses a réagi rapidement en demandant une injonction provisoire à l'encontre de l'autorité afin d'empêcher tout accès aux dossiers.
- Plainte contre le CRIF et Acxiom (allemand)
- Traduction automatique de la plainte en anglais
- chronologie de la plainte
Contexte : commerce secret et illégal de données à caractère personnel. L'agence de référencement CRIF achète continuellement les noms, dates de naissance et adresses de millions d'Allemands à l'entreprise de commerce d'adresses Acxiom. Bien que ces données aient été collectées à l'origine à des fins de marketing, le CRIF les utilise pour évaluer la solvabilité des personnes. Cela se fait généralement sans que les personnes concernées en soient informées et sans leur consentement, ce qui est susceptible d'enfreindre la législation européenne en matière de protection des données à plusieurs égards.
Pas de notification ni de consentement. En vertu des principes de limitation de la finalité et de licéité du GDPR, les données collectées à des fins de marketing ne peuvent pas être utilisées sans consentement pour l'évaluation de la solvabilité (c'est-à-dire pour prévoir les probabilités de non-paiement). Cela ne devrait pas être une nouveauté pour Acxiom et le CRIF : la Conférence sur la protection des données, qui regroupe toutes les autorités allemandes de contrôle de la protection des données, a souligné à plusieurs reprises que les données autres que les expériences de paiement négatives ou d'autres comportements non contractuels ne peuvent être utilisées pour l'évaluation de la solvabilité qu'avec le consentement de l'intéressé. Non seulement CRIF et Acxiom omettent catégoriquement de demander un tel consentement aux personnes concernées, mais ils ne les informent même pas que leurs données seront vendues à CRIF. La personne concernée représentée par noyb, par exemple, n'a découvert le traitement illégal de ses données que par le biais d'une demande d'accès.
Marco Blocher, avocat spécialisé dans la protection des données chez noyb: "L'utilisation secrète des données d'un marchand d'adresses pour calculer les scores de crédit des personnes est un cas d'école de traitement illicite au sens du GDPR. Cette pratique se fait en secret, entraîne un changement illégal de la finalité du traitement - et manque tout simplement de base juridique."
Deux ans de statu quo. Les violations de la législation européenne sur la protection des données sont difficiles à nier. Néanmoins, l'affaire est toujours pendante devant les autorités de protection des données (DPA) de Hesse (responsable d'Acxiom) et de Bavière (responsable du CRIF), près de deux ans après avoir été déposée. Afin de se faire une idée de l'état actuel de ces affaires, noyb a demandé à l'autorité de Hesse l'accès aux dossiers (la Bavière n'accorde pas ce droit, mais c'est un problème en soi). La DPA de Hesse a semblé disposée à accorder l'accès demandé et a entendu Acxiom à ce sujet - mais elle a été rapidement poursuivie en justice. Le marchand d'adresses cherche maintenant à obtenir une injonction provisoire au tribunal pour empêcher le plaignant d'accéder aux fichiers, alors que l'entreprise elle-même a demandé et obtenu l'accès aux fichiers.
Délai de procédure. Il existe quelques exceptions au droit d'accès aux dossiers, par exemple dans le cas de secrets d'affaires. Toutefois, il n'existe pas de base juridique pour clore l'ensemble du dossier administratif. Acxiom en est probablement conscient. En réalité, l'entreprise semble essayer de retarder une décision de l'autorité de protection des données de la Hesse en créant un incident de procédure. Cela permet à Acxiom de poursuivre la vente illégale de données personnelles.
Une mesure de type SLAPP. La demande d'interdiction d'Acxiom semble suivre le concept des "SLAPP" ("Strategic Lawsuits Against Public Participation"), que l'UE veut criminaliser. Le dépôt de requêtes abusives, combiné aux coûts dissuasifs et à la complexité des litiges, ainsi qu'à l'encombrement fréquent des tribunaux, vise à décourager les particuliers et les ONG comme noyb de demander des comptes aux entreprises.
Jonas Breyer, avocat allemand représentant le plaignant et noyb devant le tribunal administratif de Wiesbaden : "Les entreprises continuent d'essayer de faire traîner l'application des droits en matière de protection des données afin de maintenir artificiellement en vie des modèles commerciaux douteux mais lucratifs. Le fait qu'Axciom entame une procédure judiciaire, par exemple, en qualifiant ses conditions générales de 2008 et d'autres documents obsolètes de secrets commerciaux, en dit long."
Abus du système juridique. L'affaire Acxiom montre une fois de plus que, même après cinq ans d'application du GDPR, certaines entreprises pensent que le système juridique peut être détourné pour maintenir des modèles d'entreprise illégaux. C'est inacceptable, surtout pour une entreprise qui traite les données de millions de personnes et travaille avec des clients internationaux tels que Meta, Adobe, Google, IBM et PayPal. noyb ne reculera pas et est prête à déposer d'autres plaintes ou à poursuivre des entreprises comme Acxiom pour obtenir une injonction et des dommages-intérêts sur la base de la nouvelle directive sur les actions représentatives.
