L'agence de référencement CRIF GmbH, souvent critiquée, a collecté les adresses, les dates de naissance et les noms de presque tous les Autrichiens afin de calculer des "valeurs de solvabilité" sans consentement ni autre base juridique. L'autorité autrichienne de protection des données (DPA) vient de décider, dans le cadre d'un test, que ces données ont été traitées illégalement. Des millions d'enregistrements de données doivent être supprimés.
- Décision de l'autorité de protection des données (allemand)
- Décision traduite (anglais)
- Lien vers le cas type de noyb
Un éditeur d'adresses communique illégalement des données à caractère personnel à une agence de référencement. La plupart des données de base (nom, adresse, date de naissance, sexe) que le CRIF utilise pour calculer des "valeurs de solvabilité" douteuses proviennent de l'éditeur d'adresses AZ Direkt (qui appartient au groupe allemand Bertelsmann). AZ Direct n'est autorisé à transmettre ces données qu'à des fins de marketing, et non pour le calcul de la solvabilité. Néanmoins, les données de millions d'Autrichiens (la quasi-totalité de la population résidente) se sont retrouvées illégalement chez CRIF GmbH à des fins d'agence de crédit. noyb a déposé un recours contre cette approche problématique et a obtenu gain de cause.
"Le GDPR prévoit que les données ne peuvent être utilisées qu'à des fins spécifiques. On ne peut pas vendre des données de marketing à une société de référencement. L'ORD nous a donné raison. Des millions de personnes en Autriche sont concernées par ce problème" - Max Schrems, président de noyb.
Des millions de personnes sans problèmes de paiement sont enregistrées et "notées". Avec l'aide d'AZ Direct, le CRIF dispose des données de millions d'Autrichiens, attribue à chacun un "score de crédit" et vend ces informations à n'importe quelle entreprise. De nombreux fournisseurs de téléphonie mobile, magasins en ligne et banques utilisent ces données pour en savoir plus sur leurs clients.
"La base de données du CRIF fournit sur demande les adresses et les dates de naissance de presque tous les Autrichiens. Pour une somme modique, un "score de crédit" douteux est également calculé. Les clients n'obtiennent pas de contrat de téléphonie mobile ou d'électricité si leur score est trop bas. Si la banque utilise ce score, il se peut qu'il faille payer des mensualités de prêt plus élevées. Nous pensons que les données ne devraient être collectées qu'auprès des mauvais payeurs manifestes, au maximum, et non de l'ensemble de la population" - Max Schrems, président de noyb
Interdiction et appel attendus. Cette décision concerne une personne concernée et indique seulement que le traitement des données n'était pas licite. Cependant, le traitement n'a pas été interdit par l'autorité autrichienne de protection des données - l'autorité se réfère à une interdiction officielle générale, qui est toujours en cours. noyb s'attend à ce que le CRIF fasse appel de cette décision, car il s'agit d'un coup dur pour son modèle d'entreprise. Il est toutefois peu probable que cet appel aboutisse.
Les personnes concernées peuvent rassembler des preuves et demander au CRIF des informations sur leurs propres données. Des dommages et intérêts pourraient également devoir être versés à l'avenir. Cela dépend de l'arrêt de la Cour de justice dans une autre affaire, qui sera rendu prochainement.
"Nous recommandons d'obtenir une copie gratuite de ses données auprès du CRIF à des fins de preuve. Il pourrait bientôt être clarifié si l'on reçoit également une indemnisation pour le traitement illégal des données. Toutefois, nous attendons encore d'autres jugements à ce sujet" - Max Schrems, président de noyb.
CRIFest sous pression. noyb a actuellement plusieurs affaires en cours contre CRIF : pour le calcul intrasparent et sujet aux erreurs des scores de solvabilité, pour l'absence de base légale pour le stockage des données de millions de personnes en Autriche, et pour les sources de données illégales. À ce stade, l'histoire se répète : le CRIF a déjà été impliqué dans un scandale de transfert illégal de données du système judiciaire dans les années 2000 (à l'époque encore sous le nom de "Deltavista").