À la suite d'une initiative du noybplus de 2 400 personnes concernées ont demandé leurs données à l'agence de crédit CRIF et les ont maintenant reçues. Une évaluation réalisée par noyb montre que de nombreuses entreprises autrichiennes de renom, telles que Erste Bank, Verbund et Drei, évaluent leurs clients à l'aide des données du CRIF. Certaines entreprises, comme T-Mobile, le détaillant en ligne Otto et la compagnie d'assurance Allianz, semblent également fournir leurs données clients au CRIF. L'évaluation initiale de plus de 40 000 requêtes et de plus de 28 000 notes transmises montre également que les hommes sont nettement moins bien notés que les femmes. Les citadins obtiennent un score inférieur à celui des ruraux. noyb effectuera des analyses détaillées dans les semaines à venir afin d'évaluer la précision individuelle des scores du CRIF.
Sources des données : Trois principaux éditeurs d'adresses. Les données d'adresses du CRIF proviennent principalement de trois éditeurs d'adresses : AZ Direct (qui fait partie du groupe Bertelsmann), Compass Verlag et DPIT à Vienne. Conformément à l'article 151 du code de commerce autrichien et à plusieurs décisions de justice, les éditeurs d'adresses ne peuvent vendre ces adresses qu'à des fins de marketing. Néanmoins, ces adresses aboutissent chez CRIF et constituent la base de la notation de crédit de CRIF. Si le transfert illégal de données d'adresses devait cesser, CRIF devrait potentiellement effacer demain les données de presque toutes les personnes vivant en Autriche. Afin de savoir où les éditeurs d'adresses susmentionnés ont obtenu les données de tous les Autrichiens, noyb leur a envoyé des demandes d'accès au nom des 2 440 participants. Outre les trois principaux négociants d'adresses, les télécommunications, les banques et les fournisseurs d'énergie apparaissent également comme des sources de données d'adresses à plus petite échelle. Dans ce cas, les clients du CRIF eux-mêmes ne semblent pas en mesure d'expliquer comment les données aboutissent au CRIF, d'après les premières enquêtes.
Max Schrems : "Même selon la jurisprudence existante, le traitement des données par CRIF repose sur du sable. Les autorités ont fermé les yeux, permettant au CRIF de traiter les données des 90% de la population qui ont toujours payé leurs factures"
"Vérification des données" : Les banques et les opérateurs de télécommunications fournissent des informations au CRIF. À la surprise de noyb, des entreprises telles que T-Mobile, Drei, bank99, Allianz et Klarna apparaissent également comme sources de "vérification" des adresses et des données. Ceci est particulièrement problématique car les fournisseurs de télécommunications et les banques, par exemple, sont tenus par la loi d'identifier les clients à l'aide d'une pièce d'identité. Lorsque ces données aboutissent au CRIF, elles vont bien au-delà de ce qui est légalement requis pour l'identification des titulaires de comptes ou des clients de téléphonie mobile. Lors de discussions directes, ces entreprises ont toujours affirmé qu'elles ne fournissaient pas de données au CRIF, mais qu'elles se contentaient de les récupérer. Il est possible que cette utilisation supplémentaire des données se fasse dans le dos des banques et des sociétés de télécommunications. noyb va maintenant contacter ces sociétés pour obtenir des éclaircissements. Il n'est pas encore certain que ces entreprises soient au courant de ce qui se passe.
Max Schrems :"Ce qui est nouveau, c'est que T-Mobile et Drei, par exemple, fournissent également leurs données clients au CRIF à des fins de vérification d'identité. C'est particulièrement délicat, car il faut s'identifier avec une pièce d'identité auprès des fournisseurs de téléphonie mobile ou des banques. Ces données vérifiées aboutissent ensuite au CRIF. noyb étudie actuellement si cette pratique peut être légale de quelque manière que ce soit
Informations financières : Seuls quelques dossiers de recouvrement de créances. Le CRIF dispose de données sur l'historique des paiements pour environ 10 % de la population autrichienne. Il s'agit principalement de demandes de recouvrement de créances, y compris celles qui ont été payées depuis longtemps. Le CRIF conserve également les créances payées pendant une période pouvant aller jusqu'à 7 ans si elles dépassent 20 euros. Les faillites n'apparaissent que dans 15 cas sur les 2 440 sujets testés - probablement parce que, selon la jurisprudence de la CJUE, ces données doivent désormais être supprimées au bout d'un an.
Max Schrems :"Il semble que le CRIF supprime désormais les cas d'insolvabilité au bout d'un an. Cependant, les retards de paiement de petits montants sont conservés pendant sept ans. Nous ne comprenons pas la logique qui veut que les dossiers d'insolvabilité soient effacés rapidement, mais pas les retards de paiement"
Klarna est le plus gros client du CRIF. Sur la base des 40 000 enregistrements de données disponibles, le prestataire de services de paiement suédois Klarna semble être le plus gros client de CRIF. Toutefois, la compagnie d'assurance Allianz et la boutique en ligne de luxe Breuninger figurent également parmi les principaux utilisateurs, suivies par Erste Bank, le fournisseur canadien de services de vérification Trulioo, le fournisseur de cartes de crédit card complete, TF Bank et bank99. Parmi les fournisseurs d'énergie, MaxEnergy, Energie AG et Verbund semblent évaluer régulièrement leurs clients. Cependant, de nombreuses demandes sont difficiles à expliquer : par exemple, des sociétés immobilières ou des cabinets d'avocats ont parfois accédé aux données de personnes concernées alors qu'il n'y avait pas de contrat de crédit ou d'achat sur facture. Il semble également y avoir des demandes "préventives". À première vue, il semble que certaines entreprises les utilisent comme une sorte de "vérification des antécédents", sans vraiment avoir de raison valable de faire une demande. noyb posera donc aux personnes concernées et aux clients de CRIF des questions plus détaillées afin d'en savoir plus sur leur relation d'affaires avec CRIF.
Max Schrems : "À première vue, certaines questions ne semblent pas nécessairement justifiées. Nous demandons maintenant à nos plus de 2 400 participants s'ils ont remarqué des requêtes illégales dans leurs données. Il se pourrait que certains clients du CRIF aient eux-mêmes enfreint le GDPR"
Scores : sexe, âge et adresse. Les 28 000 scores montrent que les femmes ont tendance à obtenir des scores plus élevés que les hommes (547 contre 522). Des tendances géographiques sont également visibles. Les villes de Vienne (523), Graz (519) et Linz (513) ont des scores moyens inférieurs à ceux du reste de l'Autriche (530), bien qu'il existe des différences significatives à l'intérieur des villes. Toutefois, l'âge semble avoir la plus grande influence : en moyenne, le score augmente d'environ 2,6 points par année de vie.
Max Schrems :"Même avec plus de 28 000 scores, il apparaît clairement que pour la plupart des personnes concernées, le score est principalement basé sur les données d'adresse. L'âge et le sexe ne semblent avoir qu'une influence mineure sur les scores."
noyb demande aux participants de lui donner d'autres conseils. Afin de recueillir davantage d'informations sur les pratiques du CRIF et de ses entreprises partenaires, noyb invite les 2 440 participants à signaler toute anomalie dans leurs demandes d'accès. À cette fin, noyb a également publié une description détaillée de tous les champs de données disponibles.
Max Schrems : "Dans la plupart des cas, les personnes concernées sont les mieux placées pour savoir ce qui a pu être consulté ou ce qui est incorrect. Nous avons donc demandé à tous les participants de vérifier leurs données et de nous signaler toute incohérence. Nous sommes impatients de voir ce que cela va révéler"
Évaluation détaillée dans les semaines à venir. noyb va maintenant travailler avec un professeur de mathématiques financières pour comparer les plus de 28 000 scores avec les données financières réelles des personnes concernées, afin de déterminer si les scores du CRIF sont statistiquement fiables. À l'heure actuelle, tout semble indiquer que le score du CRIF n'a que peu ou pas de rapport avec la situation financière réelle de l'individu. D'autres résultats sont attendus dans les semaines à venir. Après cela, noyb décidera également s'il convient d'engager une action collective de plus grande envergure contre le CRIF. Si des données personnelles ont été traitées de manière illégale, les personnes concernées pourraient avoir droit à des dommages et intérêts.
Mise à jour en réponse à la déclaration du CRIF :
Malgré les allégations d'informations "incorrectes" dans ce communiqué de presse, le CRIF confirme toutes les déclarations faites par noyb:
- Les entreprises citées par noyb font partie du réseau CRIF
- Les données sont fournies à CRIF par des courtiers en adresses et par certains clients de CRIF
- CRIF génère des scores de crédit même si, selon ses propres déclarations, il ne dispose "d'aucune information sur les revenus et les actifs".
Max Schrems : "Pour l'essentiel, il n'y a pas de litige sur ce que font CRIF et ses partenaires. Le communiqué de presse du CRIF ne contient aucune critique substantielle"
