les procédures judiciaires engagées parnoyb contre l'agence d'évaluation du crédit CRIF révèlent une multitude de violations juridiques et d'interprétations cyniques du GDPR, mettant à jour un marais de mauvaise conduite. Ces violations comprennent des scores de crédit incorrects, la collecte illégale de données et la rétention délibérée d'informations lorsque les personnes concernées soumettent des demandes à l'agence d'évaluation du crédit. Les tactiques du CRIF reposent sur l'espoir que la plupart des personnes renonceront à leur quête d'informations. En réponse, noyb a déposé une plainte concernant ces violations répétées, attirant ainsi l'attention sur les milliers de cas où les droits des personnes sont violés.
Réponses partielles structurelles. Conformément à l'article 15 du RGPD, tout consommateur a le droit de recevoir, dans un délai d'un mois, toutes les données conservées par les bureaux de crédit tels que le CRIF. Cependant, la réponse du CRIF n'indique pas la source des données sur la personne concernée et ne contient que des informations sur les destinataires des données de solvabilité des six derniers mois. Une telle divulgation sélective est en contradiction avec le GDPR, qui exige la fourniture rapide et complète d'informations sans aucune rétention arbitraire de la part des entreprises.
Max Schrems, président du noyb: "Il est presque bizarre de constater à quel point le CRIF ne tient pas compte du GDPR. A chaque fois, une nouvelle violation de la loi est découverte, montrant à quel point le CRIF se moque de la réglementation. Le motif de la rétention d'informations est transparent : en dissimulant des informations, le CRIF espère éviter des demandes de renseignements gênantes. Cependant, la plupart des consommateurs ne savent pas que les données fournies ne sont qu'un extrait partiel, ce qui les laisse dans l'ignorance de l'étendue du traitement des données"
La violation des droits est intentionnelle et systématique. La violation intentionnelle et systématique des droits devient évidente lorsque le CRIF fournit des informations incomplètes. noyb a rencontré de nombreux cas où les personnes concernées n'ont reçu des informations supplémentaires qu'après un suivi persistant et l'intervention des autorités chargées de la protection des données. Plus les personnes sont déterminées, plus les informations semblent apparaître comme par magie. Dans la plupart des cas, il devient évident que les données ont été collectées auprès d'éditeurs d'adresses et qu'elles ont été partagées bien plus largement que ce qui avait été initialement reconnu. Cependant, le GDPR place clairement la responsabilité de l'accès sur le responsable du traitement des données, en soulignant qu'il doit faciliter l'exercice de ce droit. Le CRIF, au contraire, fait l'inverse.
Max Schrems : "Le CRIF tente de dissimuler ses pratiques douteuses en recourant à tous les artifices possibles. Malgré l'exigence explicite du GDPR selon laquelle vous devez recevoir toutes les informations directement, le CRIF s'engage dans des tactiques évasives."
Signalez-le à l'autorité chargée de la protection des données, une sanction substantielle pourrait être imminente. Compte tenu de la nature systématique, intentionnelle et flagrante des violations commises par le CRIF, il est indéniable qu'elles justifient des mesures punitives. C'est pourquoi noyb a déposé une plainte auprès de l'autorité de protection des données, en plus des plaintes individuelles des personnes concernées. noyb estime qu'un nombre important de personnes, atteignant probablement un nombre à cinq chiffres, sont affectées par les informations incomplètes fournies par le CRIF chaque année.
Max Schrems : "Si une entreprise qui travaille principalement avec des données personnelles ignore structurellement le GDPR, l'autorité doit certainement aussi montrer l'exemple avec des sanctions appropriées. Il ne s'agit pas d'un malentendu ou d'un avis juridique différent, ici les consommateurs sont délibérément privés de leurs droits."