noyb a remporté une victoire d'étape dans sa procédure contre l'agence de référence de crédit CRIF et l'entreprise de commerce d'adresses Acxiom en Allemagne. Ces entreprises commercialisent illégalement les données personnelles de millions d'Allemands. Il y a un peu plus de deux ans, noyb a donc déposé une plainte. Aujourd'hui, l'autorité bavaroise de protection des données a statué que le CRIF avait fait un usage abusif des données achetées, violant ainsi la législation européenne en matière de protection des données. Entre-temps, l'autorité de la Hesse a rejeté une demande d'Acxiom visant à refuser à noyb d'accéder aux dossiers.
Contexte : Commerce secret et illégal de données. L'agence de référencement CRIF achète constamment des données personnelles telles que le nom, l'adresse et la date de naissance de millions d'Allemands à l'entreprise de commerce d'adresses Acxiom et les utilise pour évaluer leur solvabilité. Ce commerce se fait secrètement et sans le consentement ou la notification des personnes concernées. Selon le principe de limitation de la finalité du GDPR, les données collectées à des fins de marketing ne peuvent être utilisées pour l'évaluation de la solvabilité qu'avec le consentement de l'intéressé. Par conséquent, les deux entreprises sont en infraction avec la législation européenne sur la protection des données.
Le commerce des données est déclaré illégal. L'autorité bavaroise de protection des données (DPA), qui gère la procédure contre CRIF, a maintenant suivi cette évaluation : CRIF a traité les données du plaignant en violation du principe de limitation de la finalité et n'a pas respecté son obligation d'informer le plaignant de l'acquisition de ses données auprès d'Acxiom. Mais ce n'est pas tout : l'autorité affirme que l'agence de crédit a fourni des réponses incomplètes à une demande d'information du plaignant et qu'elle a même fourni de fausses informations.
Max Schrems, président du noyb: "Les autorités allemandes sont restées assez longtemps sans rien faire pendant que le CRIF s'enrichissait secrètement avec les données de millions d'Allemands. Le fait que l'autorité bavaroise de protection des données ait déclaré illégal le commerce de données avec Acxiom est un premier pas dans la bonne direction. Des conséquences claires sont nécessaires pour les agences de crédit qui se croient au-dessus de la loi"
L'interdiction générale est en cours de révision. Avec cette décision, l'autorité bavaroise de protection des données suit une décision de l'autorité autrichienne (DSB) datant de mars 2023. Dans une affaire opposant noyb à la branche autrichienne du CRIF, l'ORD avait jugé à l'époque que les transactions secrètes entre les agences de crédit et les négociants en adresses violaient le GDPR et étaient donc illégales. Sur cette base, noyb a récemment intenté une action en justice contre le CRIF en Autriche. La DPA bavaroise mène actuellement d'autres procédures contre CRIF Allemagne, dans le cadre desquelles elle examine une interdiction générale de l'achat de données auprès de négociants d'adresses tels qu'Acxiom.
Retard dans la procédure engagée par Acxiom. La procédure contre Acxiom (traitée par l'autorité de protection des données de la Hesse) a pris plusieurs mois de retard. Le négociant en adresses a saisi la justice pour empêcher le plaignant d'accéder aux dossiers. Cela a eu pour effet de bloquer l'ensemble de la procédure, ce qui a permis à Acxiom de poursuivre son commerce illégal de données. Le tribunal a maintenant rejeté la demande d'Acxiom comme irrecevable
