Aujourd'hui, noyb a déposé une plainte GDPR contre Ryanair. La réservation d'un vol sur le site web de la compagnie aérienne ne nécessite pas seulement un compte obligatoire. Les nouveaux clients doivent également se soumettre à un processus de vérification qui, pour de nombreuses personnes, implique des données biométriques invasives. Il n'existe aucune justification raisonnable pour un tel système. Au contraire, il semble que Ryanair viole volontairement le droit de ses clients à la protection des données afin d'accroître son pouvoir de marché. C'est déjà la deuxième fois que Ryanair viole le droit de ses clients à la protection des données pour accroître son pouvoir de marché noyb contre cette pratique. Malgré une précédente plainte, Ryanair a décidé d'obliger encore plus de clients à passer par son système de vérification.
- Plainte auprès de l'autorité italienne de protection des données (EN)
- Plainte auprès de l'autorité italienne de protection des données (IT)
- Précédent noyb contre Ryanair
Ryanair introduit les "comptes forcés". Quiconque souhaite réserver un vol sur le site ou l'application Ryanair est désormais contraint de créer un compte permanent. Cela signifie souvent que les données sont combinées et conservées jusqu'à ce que vous supprimiez le compte - ce qui n'arrive généralement jamais. Cependant, un compte n'est clairement pas nécessaire pour réserver un vol. Ni Lufthansa, ni EasyJet, ni Air France, ni Norwegian, parmi beaucoup d'autres, n'exigent la création d'un compte pour acheter un vol. En réalité, les "comptes forcés" de Ryanair violent le principe de minimisation des données du GDPR. L'article 5, paragraphe 1, point c), du GDPR exige que les données à caractère personnel ne soient traitées que si cela est nécessaire. Ryanair ne respecte pas cette exigence.
Vérification obligatoire et déroutante. Les comptes forcés ne suffisent pas à Ryanair. Pour pouvoir voler avec eux, tous les nouveaux propriétaires de comptes doivent passer par un processus de "vérification" obligatoire. À ce stade, les utilisateurs peuvent théoriquement choisir entre deux options. En réalité, Ryanair les pousse vers un processus de reconnaissance faciale biométrique présélectionné et très invasif pour vérifier leur compte - bien que les données biométriques soient spécialement protégées par la législation de l'UE. Les autorités européennes de protection des données affirment même que la reconnaissance faciale peut présenter des "risques inacceptables" pour les personnes.
Felix Mikolasch, avocat spécialiste de la protection des données chez noyb : "Nous savons tous que Ryanair est passé maître dans l'art de concevoir des sites web ennuyeux et trompeurs. Mais lorsqu'il s'agit d'utiliser les données personnelles des gens, la compagnie aérienne doit respecter la loi comme tout le monde"
Pas de scan du visage - pas de réservation rapide de vol. Si les clients ne veulent pas que leurs données biométriques soient traitées, Ryanair leur demande de lui envoyer une signature manuscrite et une copie de leur carte d'identité. Cela crée un fardeau supplémentaire pour refuser de consentir à l'utilisation de leurs données biométriques, ce qui a pour conséquence de priver les clients de leur libre choix - et Ryanair ne se conforme pas aux exigences du GDPR en matière de consentement.
Felix Mikolasch, juriste spécialiste de la protection des données au noyb: "Ryanair incite illégalement ses utilisateurs à traiter leurs données biométriques hautement sensibles, au mépris total de ses obligations légales. Il ne semble pas y avoir de raisons évidentes pour lesquelles Ryanair a besoin d'une telle vérification, étant donné que d'autres compagnies aériennes n'exigent pas un balayage du visage pour acheter un billet"
Chasser la concurrence au détriment des clients. Il semble que le véritable objectif de la procédure de vérification soit d'empêcher les agences de voyage en ligne de créer des comptes pour acheter et revendre ensuite des vols Ryanair sur leurs sites web. Si les clients réservent leur vol ailleurs, ils ne dépenseront pas d'argent supplémentaire pour les hôtels, les assurances, les transferts aéroportuaires ou les voitures de location auprès de Ryanair - mais réserveront ces services supplémentaires auprès d'une agence de voyage. À cet égard, Ryanair et les agences de voyage sont des concurrents. En exigeant des données biométriques et similaires, Ryanair semble chercher à obtenir un avantage concurrentiel dans une lutte entre entreprises en jetant la vie privée des utilisateurs sous le boisseau.
Plainte déposée en Italie. noyb a déposé une plainte auprès de la Garante italienne. En obligeant les utilisateurs à créer un compte pour acheter un billet d'avion, la compagnie aérienne viole le principe de minimisation des données conformément à l'article 5, paragraphe 1, point c), du règlement GDPR. En outre, la vérification obligatoire viole le principe de limitation de la finalité (article 5, paragraphe 1, point b), du RGPD). Enfin, Ryanair ne respecte pas les exigences en matière de consentement conformément aux articles 6 et 9 du GDPR. Sur la base du chiffre d'affaires de Ryanair chiffre d'affaires de Ryanair de 10 milliards d'euros en 2023l'autorité de protection des données pourrait infliger une amende d'un montant maximal de 431 millions d'euros.
