Le droit d'accès comme boomerang de la protection des données ? L'agence de référence pour le crédit collecte des données auprès des personnes qui demandent des informations
Le 08.02.2021, noyb a déposé une plainte GDPR contre le courtier en données sur la solvabilité KSV 1870. L'agence autrichienne de référence en matière de crédit stocke les données de personnes jusqu'alors inconnues qui exercent leur droit légal d'accès à leurs données sans autorisation.
- Télécharger : Plainte allemande auprès de l'autorité autrichienne de protection des données (PDF)
- Télécharger : Traduction automatique de la plainte en anglais (PDF)
Le droit d'accès comme boomerang de la protection des données ? Toute personne a le droit d'obtenir des informations sur les données qu'une entreprise traite à son sujet. Cependant, beaucoup de gens ont peur de demander des informations parce qu'une entreprise pourrait avoir encore plus de données sur eux qu'auparavant : Souvent, il faut fournir une pièce d'identité ou donner son nom, son adresse et sa date de naissance pour recevoir les informations demandées. En théorie, il n'y a aucune raison d'avoir peur : les entreprises ne sont évidemment autorisées à utiliser les données que pour fournir des informations et doivent ensuite les supprimer. Ce n'est pas le cas du KSV, le leader du secteur parmi les agences de référence pour le crédit en Autriche :
KSV : La curiosité a tué le chat. La personne concernée avait envoyé à KSV une demande d'accès en vertu de l'article 15 GDPR. Le KSV a répondu qu'aucune donnée personnelle de la personne concernée n'est traitée. Du moins jusqu'à présent. Mais le paragraphe suivant précise : "Après réception de votre demande, les données d'identification que vous avez fournies seront désormais traitées dans notre base de données commerciales dans le cadre de notre activité, conformément à l'article 152 de la loi sur la réglementation du commerce"
"Cette audace est étonnante. Le KSV reçoit les données uniquement pour répondre à la demande d'accès, mais les saisit ensuite dans sa base de données sans autorisation. Ensuite, les données sont utilisées pour calculer les scores de crédit, que le KSV vend à ses clients. Vous voulez savoir si le KSV dispose de vos données ? Il suffit de demander, et ils l'auront à coup sûr !"Marco Blocher, avocat spécialisé dans la protection des données chez noyb.eu
Un engraissement systématique de la base de données ? L'approche de KSV est systématique - noyb a connaissance de plusieurs cas similaires : Si une personne était inconnue du KSV, le nom, l'adresse et la date de naissance de la demande d'accès étaient stockés dans la base de données. Si KSV connaissait déjà la personne, il mettait à jour sa base de données sur la base de ces informations. Les actions de KSV violent le principe de limitation de la finalité conformément à l'article 5, paragraphe 1, point b), du GDPR. Selon ce principe, les données doivent être collectées pour une finalité déterminée, explicite et légitime. Le traitement ultérieur pour une autre finalité n'est autorisé que s'il est compatible avec la finalité initiale
"Les personnes font des demandes d'accès afin de prendre connaissance du traitement des données - et, si nécessaire, de prendre des mesures contre celui-ci. Il est tout simplement grotesque que toutes ces demandes aboutissent dans la base de données du KSV."Marco Blocher, avocat spécialisé dans la protection des données chez noyb.eu
noyb surveille de près les courtiers en données. Les sociétés de commerce de données doivent respecter des normes particulièrement strictes en matière de protection des données. Cela s'applique non seulement aux agences de notation de crédit et aux éditeurs d'adresses, mais aussi aux grandes entreprises de technologie et de médias sociaux. Comme ces entreprises ont accès à d'énormes quantités de données, il est d'autant plus important de les traiter avec le plus grand soin
"Malheureusement, de nombreuses entreprises dites "axées sur les données" ont une image de soi totalement erronée. Une fois qu'elles ont des données, elles font essentiellement ce qu'elles veulent, peu importe pourquoi ou comment elles les ont obtenues au départ. La GDPR a introduit des concepts tels que la limitation de la finalité pour empêcher cela . En réalité, ils ne se soucient pas trop de cela" Marco Blocher, avocat spécialisé dans la protection des données chez noyb.eu