noyb.eu a déposé une plainte de GDPR contre l'agence de notation de crédit "CRIF", qui est active dans plus de 28 pays. Le CRIF a attribué une "note" d'exactement 446 de 700 des points de crédit possibles pour un client d'électricité sans dette ayant un emploi permanent bien rémunéré. Ceci est étonnant car le CRIF a souligné à plusieurs reprises qu'il ne connaissait pas la personne concernée et qu'aucune donnée n'était stockée à son sujet. Le score a été calculé de nulle part. Mais la conséquence a été bien réelle : la compagnie d'électricité a refusé de signer un contrat avec lui.
- Télécharger : Plainte allemande auprès de l'autorité autrichienne de protection des données (PDF)
- Télécharger : Traduction automatique de la plainte en anglais (PDF)
Comme un magicien avec un lapin, le CRIF a inventé la "solvabilité" de toutes pièces.
Un client de l'électricité voulait signer un nouveau contrat d'électricité. Le fournisseur d'énergie a refusé de manière inattendue de signer le contrat. La raison : sa cote de crédit était trop basse - assez surprenante compte tenu de ses revenus et de sa profession, qui devraient être plus que suffisants pour payer l'électricité. En réponse à d'autres demandes de renseignements, il a été expliqué que sa cote de crédit CRIF ne serait 446 points, alors que l'exigence minimale pour un contrat énergétique était 650 points. Le client s'est alors adressé au CRIF et a demandé l'accès à ses informations conformément à l'article 15 GDPR. Le CRIF a répondu en affirmant qu'il n'avait pas stocké de données personnelles sur lui en tant que consommateur. Le score négatif doit donc être venu de nulle part.
"La réponse du CRIF est stupéfiante. Comment peut-on calculer une note de crédit exacte si aucune donnée n'est prétendument stockée sur la personne ? Il semble que le CRIF ait calculé un score très précis de 446 points à partir des seules données demandées, à savoir le nom, l'adresse et la date de naissance. Quiconque vit à la mauvaise adresse ou a la mauvaise date de naissance n'obtiendra pas de contrat d'électricité. "Il est probablement plus juste de fermer les yeux et de choisir un nombre aléatoire entre 1 et 700." - Alan Dahi, avocat spécialisé dans la protection de la vie privée pour noyb.eu
Le traitement des données doit suivre certains principes selon le GDPR. L'un d'entre eux est le principe de l'exactitude des données, ou précision - les données personnelles doivent être correctes dans leur contenu. Les scores arbitraires de "vaudou" qui stigmatisent les clients et les excluent de l'approvisionnement en électricité sont clairement illégaux.
"Si une personne n'est pas effectivement enregistrée dans la base de données du CRIF, le résultat devrait être "Personne inconnue" et non 446. Un score sans base est intrinsèquement incorrect et constitue donc une violation du GDPR". - Alan Dahi, avocat spécialisé dans la protection de la vie privée pour noyb.eu
Secret commercial ? Le client de l'électricité est dans le noir.
Le CRIF a refusé d'expliquer comment le score de crédit avait été calculé, malgré des demandes répétées - bien que selon le GDPR, toute personne concernée a le droit de connaître la logique derrière de tels calculs. Cela a été justifié par l'affirmation générale selon laquelle le processus de décision du CRIF était "un secret commercial" ; or, un tel "secret" peut laisser les consommateurs d'électricité concernés littéralement dans le noir.
"D'abord, les consommateurs ne peuvent plus conclure de contrats parce qu'on invente des évaluations complètement illogiques. Ensuite, on ne peut même pas savoir comment ces évaluations sont faites. Le consommateur devient un pion dans un algorithme" - Alan Dahi, avocat spécialisé dans la protection de la vie privée pour noyb.eu
Pas d'électricité - et pas de personne responsable
Le fournisseur d'électricité a cité le score de crédit du CRIF, qui était trop bas, comme étant la seule raison pour laquelle il n'était pas possible de fournir de l'énergie et a soumis le rapport de crédit obtenu du CRIF comme preuve. Le client n'a pas eu la possibilité de prouver que sa solvabilité était en fait impeccable et d'obtenir quand même un contrat d'électricité. Toutefois, lorsqu'il a été interrogé, le CRIF a déclaré qu'aucune évaluation de crédit n'avait été effectuée par le CRIF. La décision de conclure ou non le contrat serait prise uniquement par le fournisseur d'électricité
Plainte déposée, avec une amende potentielle pouvant atteindre 20 millions d'euros
En raison du manque d'informations et des données manifestement incorrectes, NIB a déposé une première plainte auprès de l'autorité autrichienne compétente en matière de protection des données.
"Nous avons demandé que l'autorité de protection des données examine de près les traitements effectués par le CRIF. L'autorité peut interdire ce type de décisions arbitraires en matière de notation de crédit et également imposer une sanction. Cela devrait rendre les fausses évaluations moins probables" - Alan Dahi.
noyb met les agences de crédit en vedette
Les agences de notation de crédit ont parfois un grand pouvoir sur les consommateurs et n'ont jusqu'à présent guère fait preuve de responsabilité dans l'exercice de ce pouvoir. Souvent, elles suivent les traditions nationales au lieu du GDPR, qui est en vigueur dans toute l'Europe depuis 2018. Non seulement la qualité des calculs est souvent douteuse, mais on ne sait même pas sur quelle base des entreprises privées comme le CRIF ou la Schufa en Allemagne se donnent le droit de créer de grandes bases de données sur les finances de millions d'Européens.
"Nous ne voyons honnêtement aucune raison pour ces entreprises de créer une collecte de données sur les finances de chaque citoyen. La plainte contre le CRIF n'est donc qu'une première étape. Au cours des prochains mois et années, nous examinerons l'ensemble du secteur pièce par pièce et à l'échelle européenne et mènerons les procédures GDPR appropriées". - Alan Dahi, avocat spécialisé dans la protection de la vie privée chez noyb.eu
