noyb a intenté une action en justice contre l'agence de référence de crédit CRIF GmbH et l'entreprise de commerce d'adresses AZ Direct. Ces entreprises échangent secrètement les données d'adresses de presque tous les adultes en Autriche. CRIF obtient ainsi des informations qui ont en fait été collectées à des fins publicitaires - pour calculer les cotes de crédit. Comme l'a confirmé l'autorité autrichienne de protection des données dans deux décisionsl'autorité autrichienne de protection des données a confirmé dans deux décisions qu'il s'agissait d'une violation du règlement GDPR. noyb a intenté une action en justice pour obtenir une injonction et des dommages-intérêts, entre autres.
Violations de la protection des données en tant que modèle commercial. L'éditeur d'adresses AZ Direct (qui fait partie du groupe Bertelsmann) fournit régulièrement des informations personnelles telles que le nom, l'adresse, la date de naissance et le sexe des Autrichiens à l'agence de référence du crédit CRIF. Cette pratique est illégale, car les éditeurs d'adresses ne sont autorisés à partager ces données qu'à des fins publicitaires. En réalité, le CRIF utilise ces données pour calculer la solvabilité (supposée) des personnes. Cela peut avoir des conséquences considérables, telles que le refus de contrats ou de moins bonnes conditions d'octroi de prêts.
L'échange illégal de données s'est simplement poursuivi. L'autorité autrichienne de protection des données (DSB) a confirmé dans deux décisions (à la suite d'une plainte du noyb ) que cette pratique était illégale : l'échange secret de données n'est pas compatible avec le principe de protection des données de limitation de la finalité et a lieu sans base juridique appropriée conformément au GDPR. Malgré cette position claire, l'autorité n'a pas encore pris de mesures pour mettre fin au traitement illégal des données. noyb a donc déposé une plainte auprès du tribunal régional de Vienne pour les affaires civiles au nom de sept personnes concernées.
Max Schrems, président de noyb: "AZ Direct et CRIF continuent de profiter illégalement des données de millions de personnes en Autriche - et l'autorité de protection des données n'a jusqu'à présent rien fait pour mettre un terme définitif à ce commerce illégal de données. Nous n'avons donc pas d'autre choix que de nous tourner vers les tribunaux civils"
Injonction, dommages et intérêts et restitution de l'enrichissement demandé. L'objectif de l'action est d'obtenir une injonction. CRIF et AZ Direct doivent se voir interdire de poursuivre le traitement illégal des données. En outre, noyb demande des dommages et intérêts pour les personnes concernées dont les données ont été traitées secrètement et illégalement pendant des années. Enfin, les deux entreprises se sont enrichies illégalement grâce au traitement des données. CRIF et AZ Direct doivent donc expliquer combien d'argent elles ont gagné par personne concernée et remettre cet argent.
Max Schrems : "CRIF et AZ Direct échangent des millions de données dans le dos des personnes concernées sans obtenir le consentement nécessaire. Nous sommes convaincus qu'une indemnisation appropriée devra être accordée dans ce cas"
Ce n'est qu'une première étape. Le procès intenté à sept personnes concernées n'est qu'un début. Le CRIF détient les données de millions de personnes en Autriche, dont la plupart proviennent d'éditeurs d'adresses tels qu'AZ Direct. Dans la plupart des cas, les personnes concernées n'en savent rien, car ni AZ Direct ni CRIF ne remplissent leurs obligations d'information au titre de la loi sur la protection des données.
Max Schrems : "Grâce à la procédure engagée devant l'autorité de contrôle, nous savons qu'AZ Direct a partagé avec le CRIF les données de plus de 7 millions de personnes en Autriche. Toutes ces personnes ont la possibilité d'intenter une action en justice contre ce traitement illégal. Nous examinons actuellement les possibilités de faire valoir ces droits dans le cadre d'une action collective
Exercez vos droits ! Vous aussi, vous pouvez savoir si le CRIF a collecté indûment vos données auprès d'un éditeur d'adresses comme AZ Direct. Pour ce faire, introduisez une demande d'information conformément à l'article 15 du RGPD auprès du CRIF(auskunft@crif.com) et demandez notamment l'origine des données traitées. Attention : le CRIF retient systématiquement certaines données relatives aux consommateurs; il peut être nécessaire d'effectuer un suivi. De plus amples informations sont disponibles ici. CRIF est tenu de vous fournir toutes les informations dans un délai d'un mois au plus tard.