Échange illégal de données entre un éditeur d'adresses et une agence de notation de crédit
noyb a déposé une plainte GDPR contre l'agence de classement de crédit CRIF GmbH et l'éditeur d'adresses AZ Direct le 18 mars 2021. Les entreprises échangent des données qui violent le GDPR, ainsi que la loi autrichienne. Les éditeurs d'adresses ne sont autorisés à transmettre des données qu'à des fins publicitaires, mais pas aux agences de crédit pour le classement des crédits.
Télécharger : Plainte auprès de l'autorité autrichienne de protection des données (PDF)
Télécharger : Traduction automatique en anglais de la plainte (PDF)
CRIF et AZ Direct : la violation du GDPR comme modèle commercial communLe plaignant avait soumis une demande d'accès au titre de l'article 15 du GDPR au CRIF. Le CRIF a déclaré qu'il avait stocké son nom, sa date de naissance et certaines adresses résidentielles (partiellement périmées). La seule source de données mentionnée était l'éditeur d'adresses AZ Direct. Or, les éditeurs d'adresses ne sont autorisés à transmettre des données qu'à des fins publicitaires. Dans le cas du CRIF, il était très évident qu'il avait calculé plusieurs scores de solvabilité sur la base des données reçues d'AZ Direct et les avait envoyés à diverses entreprises.
Commerce secret de donnéesLes agences de crédit peuvent accéder à des données accessibles au public, comme celles provenant de différents registres pour recueillir des données d'identification. Toutefois, seule une fraction de la population peut y être trouvée. La plupart des données proviennent apparemment d'une autre source, à savoir les éditeurs d'adresses qui, selon la loi, ne sont autorisés à transmettre des données qu'à des fins publicitaires
"La majorité des données des agences de classement des crédits proviennent des éditeurs d'adresses - sans aucune base juridique et sans jamais demander le consentement des personnes concernées ni les informer. Le plaignant ne savait pas non plus que ses données étaient collectées avant sa demande d'accès, alors que le GDPR stipule clairement que alan Dahi, avocat spécialisé dans la protection des données chez noyb.eu
La limitation de la finalité comme un concept étranger Le principe de limitation de la finalité prévoit que les données ne peuvent être collectées que pour des " finalités déterminées, explicites et légitimes " et ne peuvent être traitées ultérieurement pour d'autres finalités incompatibles. Or, selon le registre des entreprises, AZ Direct est uniquement un éditeur d'adresses et ne peut donc transmettre des données qu'à des fins de marketing direct. Néanmoins, CRIF avait manifestement utilisé les données à des fins d'évaluation de crédit - une violation grave du principe de "limitation de la finalité" selon l'article 5 de la DSGVO
"Le marketing direct et la notation de crédit sont deux finalités complètement différentes et incompatibles. Le CRIF et AZ Direct violent tous deux le principe de la limitation de la finalité. En outre, il existe de possibles violations du droit commercial autrichien, que nous examinons également. "Alan Dahi, avocat spécialisé dans la protection des données chez noyb.eu
Pas un cas isoléLe CRIF ne cache pas sa relation avec les éditeurs d'adresses : les éditeurs d'adresses sont nommés dans la déclaration de protection des données comme des fournisseurs de données réguliers. De plus, le CRIF déclare sur son site web qu'il ne dispose d'aucune donnée négative (c'est-à-dire aucune donnée sur des dettes impayées) pour plus de 90% des personnes enregistrées. Il se procure donc inévitablement la plupart des données auprès des éditeurs d'adresses.
"La situation du plaignant n'est pas un cas isolé. noyb a connaissance de plusieurs cas similaires. Le CRIF a apparemment acquis des millions d'enregistrements de données auprès d'éditeurs d'adresses tels que AZ Direct sur une période de plusieurs années sans en informer une seule personne concernée. Si vous avez une résidence en Autriche, il y a une forte probabilité que vous soyez également concerné."Alan Dahi, avocat spécialisé dans la protection de la vie privée chez noyb.eu
Au tour de l'autorité Si l'autorité autrichienne de protection des données (DPA) suit notre plainte, le CRIF devra s'abstenir de collecter de telles données à l'avenir - et supprimer toutes les données collectées en violation du GDPR. En outre, l'APD peut imposer une amende allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel à la fois à CRIF et à AZ Direct.
"Les industries du commerce d'adresses et du classement des crédits n'ont toujours pas adapté leurs pratiques commerciales aux exigences du GDPR. Il est grand temps que ces industries arrivent aussi dans le présent et respectent la protection des données ! " Alan Dahi, avocat spécialisé dans la protection des données chez noyb.eu
Faites valoir vos droits ! Vous pouvez également savoir si le CRIF a collecté illégalement vos données auprès d'un éditeur d'adresses tel qu'AZ Direct. Pour ce faire, envoyez une demande d'accès en vertu de l'article 15 du RGPD à CRIF (auskunft@crif.com) et demandez notamment l'origine des données traitées. De plus amples informations sont disponibles ici. Le CRIF est tenu de vous fournir ces informations dans un délai d'un mois. Après cela, nous vous invitons à nous contacter pour d'autres démarches.