Données vaudou : l'agence de crédit CRIF crée de la solvabilité à partir de rien. L'autorité de protection des données exige également la divulgation de la logique de "notation".
Après une bonne année, l'autorité autrichienne de protection des données (DPA) a rendu une décision sur notre première plainte contre l'agence d'évaluation du crédit CRIF. Le CRIF a attribué une solvabilité négative à une personne concernée bien que la personne soit inconnue de l'agence de crédit. La personne concernée n'a pas obtenu de contrat d'électricité en raison de sa prétendue "mauvaise" cote de crédit
Le site Le DPD note d'une part que le CRIF doit indiquer aux entreprises interrogées que la "solvabilité" a été calculée uniquement à partir de l'adresse, du sexe, du nom et de la date de naissance. En outre, le CRIF doit (contrairement à l'Allemagne, par exemple) expliquer la notation au consommateur concerné.
L'information était insuffisante - le CRIF doit expliquer comment le score a été obtenu. La personne concernée avait invoqué son droit d'accès en vertu de l'article 15 du RGPD pour demander les finalités du traitement et les destinataires de ses données. Cette semaine, la DPA a estimé que l'évaluation de crédit effectuée par le CRIF est considérée comme du "profilage", car pees données personnelles ont été évaluées et analysées afin de prédire la probabilité future de défaillance de la personne concernée. Le DPD considère les activités du CRIF comme une ingérence particulièrement intensive dans les droits de la personne concernée en matière de protection des données ; enfin, le plaignant a étéenfin, un score négatif a été attribué au plaignant alors qu'il n'avait jamais causé de réels antécédents de paiement (tels que des cas de recouvrement ou des procédures d'insolvabilité). Le CRIF a tenté d'éviter toute transparence, même minimale, et a refusé toute explication jusqu'à la fin de la procédurele CRIF a tenté d'éviter toute transparence, même minimale, et a refusé d'expliquer comment il était parvenu à ce score spécifique jusqu'à la fin de la procédure. Sans succès - le DPD a maintenant ordonné au CRIF de fournir CRIF pour fournir des informations. Seule la logique informatique concrète est protégée en tant que secret commercial.
Alan Dahi, Daten avocat spécialisé dans la protection de l'environnement ànoyb: „Cette décision est un pas important vers plus de transparence pour les personnes concernées. Les agences d'évaluation du crédit ont toujours gardé le secret sur leurs processus internes, même si elles aiment gagner leur argent avec les informations des autres. Maintenant c'est clair : en vertu du GDPR, les agences d'évaluation du crédit doivent également expliquer de manière compréhensible comment sont compilés leurs scores parfois absurdes. Nous sommes curieux de voir comment le CRIF va expliquer le score totalement arbitraire de la personne concernée dans ce casn veut expliquer.“
Calcul illégitime de la solvabilité sur la base de données démographiques En outre, le DPD a également critiqué le manque de transparence de CRIF vis-à-vis de ses clients. CRIF ne révèle pas suffisamment que, dans la plupart des cas, le score de solvabilité vendu est calculé uniquement sur la base de données démographiques telles que le sexe, l'âge et le lieu de résidencel'âge et le lieu de résidence. Pour les clients du CRIF, cela donne l'impression d'une mauvaise solvabilité, sans que la personne concernée n'ait jamais causé de données négatives sur les expériences de paiement. En fin de compte, cela peut conduire à une dégradation de la situation économiquele DPD a donc décidé que dans de tels cas, le CRIF ne peut pas invoquer les intérêts légitimes au titre de l'article 6, paragraphe 1, point f), du GDPR, car les intérêts de la personne concernée à ne pas être discriminée dans les transactions commerciales ne sont pas protégésles intérêts de la personne concernée à ne pas être désavantagée dans les transactions commerciales l'emportent sur les intérêts de traitement du CRIF. Le CRIF doit maintenant remanier complètement ses rapports de crédit - de sorte qu'une personne concernée puisse expliquer équitablement aux clients du CRIF pourquoi le score donné par le CRIF a peu de valeurle score délivré par le CRIF a peu a peu à voir avec la réalité.
Alan Dahi : „Le CRIF doit en effet révéler à ses clients qu'il s'agit en fait de simples scores vaudous, calculés à l'aide d'un logiciel de gestion de l'information calculée sans aucune donnée réelle relative à la solvabilité. Le score calculé par noyb n'est pas un cas isolé. Laelon les informations fournies par le CRIF, seuls 10 % des Autrichiens disposent de données négatives - 90 % n'ont donc qu'une adresse, une date de naissance et un nom.“
La décision du DPD n'est pas juridiquement contraignante. Nous supposons que noyb mais aussi le CRIF va combattre certaines parties de la décision de plus de 20 pages.