L'agence de crédit n'a pas le droit de collecter des données par le biais de demandes d'accès et de registres civils
Il y a deux ans, noyb a déposé une plainte GDPR contre le courtier en données de crédit KSV 1870. L'agence autrichienne d'évaluation du crédit a stocké des données non sollicitées provenant de personnes inconnues qui ont exercé leur droit légal d'accès à leurs données. L'autorité autrichienne de protection des données (DSB) vient de publier sa décision dans cette affaire : l'agence d'évaluation du crédit ne peut pas collecter de données par le biais de demandes d'accès et de registres civils.
L'agence d'évaluation du crédit stocke des données provenant de demandes d'information. Les Européens ont le droit de soumettre une demande d'information aux entreprises pour savoir quelles données sont traitées à leur sujet. Pour confirmer l'identité de la personne, une entreprise demande souvent des données supplémentaires : une pièce d'identité, le nom, l'adresse ou la date de naissance, par exemple. Naturellement, les entreprises ne peuvent utiliser ces informations supplémentaires que pour répondre à une demande d'accès et doivent ensuite les supprimer. Ce n'est pas le cas du leader du secteur des agences autrichiennes d'évaluation du crédit : Le KSV 1870 conserve des informations sur les personnes qui demandent l'accès à leurs données.
Approche systématique du KSV. L'approche du KSV est systématique - nous avons reçu de nombreux cas similaires à l'adresse . Une personne concernée avait déposé auprès du KSV une demande d'accès en vertu de l'article 15 du GDPR. L'agence de crédit a répondu qu'aucune donnée personnelle de la personne concernée n'avait été traitée. Du moins jusqu'à présent. Le KSV a fait valoir que les informations supplémentaires fournies par la personne concernée pour faire valoir son droit d'accès seraient désormais stockées dans la "base de données commerciale". Mais ce n'est pas tout : auparavant, les informations fournies par la personne concernée dans le cadre de la demande d'accès étaient comparées aux données figurant dans le registre central des résidents et ajoutées à la base de données commerciale.
"L'ORD nous a donné raison : Le modèle commercial de KSV 1870, qui consiste à utiliser les demandes d'information des personnes concernées pour enrichir sa base de données économiques, est illégal. Le traitement de toute information supplémentaire provenant du registre civil est également clairement illégal. Nous supposons que, outre la personne que nous représentons, d'innombrables autres Autrichiens sont concernés. Ceux-ci peuvent exiger du KSV la suppression des données traitées illégalement" - Marco Blocher, avocat spécialiste de la protection des données à noyb.eu
La DPA et noyb sont d'accord : Le KSV agit de manière illégale. Les actions du KSV violent le principe de limitation de la finalité conformément à l'article 5, paragraphe 1, point b), du GDPR. Ce principe stipule que les données doivent être collectées pour une finalité spécifique. Un traitement ultérieur pour une autre finalité n'est autorisé que s'il est compatible avec la finalité initiale. Le DPD a estimé qu'il n'y avait pas de raison apparente de traiter les données relatives à la demande d'accès aux notations de crédit, et qu'il n'existait pas non plus de mandat légal pour la collecte générale de données. En outre, le DPD a ordonné la suppression des données obtenues illégalement.
le noyb surveille de près les négociants de données. Les industries dont l'activité principale est le commerce de données doivent être soumises à des normes particulièrement strictes en matière de protection des données. Le problème est que les agences d'évaluation du crédit ne sont guère réglementées : elles ne sont autorisées à traiter que les données pertinentes pour la solvabilité, mais il n'existe aucune définition de ces informations spécifiques. Comme les agences d'évaluation du crédit ont accès à un grand nombre de données, elles doivent les traiter de manière particulièrement responsable.
