Le commissaire d'État à la protection des données (LfD) de Basse-Saxe en Allemagne a infligé une amende de 900 000 euros à une banque. L'amende n'est pas encore définitive.
Les faits
L'entreprise avait évalué les données de clients actifs et anciens sans leur consentement. Pour ce faire, elle a analysé les comportements d'utilisation du numérique et évalué, entre autres, le volume total d'achats dans les app stores, la fréquence d'utilisation des imprimantes de relevés de compte et le montant total des virements dans la banque en ligne par rapport à l'utilisation de l'agence.
Pour cela, elle a fait appel à un prestataire de services. De plus, les résultats de l'analyse ont été comparés à une agence de crédit et enrichis à partir de là. L'objectif était d'identifier les clients ayant un penchant accru pour les médias numériques et d'utiliser davantage les canaux de communication électroniques pour s'adresser à eux à des fins contractuelles ou publicitaires. Les informations ont été envoyées à la plupart des clients à l'avance avec d'autres documents. Cependant, ceux-ci ne remplacent pas les consentements nécessaires.
Incompatible avec l'article 6-1 f
L'entreprise est accusée de ne pas être compatible avec l'article 6, paragraphe 1, point f) du règlement général sur la protection des données (RGPD) qui prévoit que le responsable de traitement peut traiter des données personnelles sur la base d'un équilibre des intérêts. Les intérêts de la personne concernée ne doivent pas prévaloir. Lors de la fixation de l'amende, il a été tenu compte du fait que l'entreprise n'avait pas utilisé les résultats de ses évaluations. L'entreprise a également été coopérative tout au long du processus.
Il est vrai que la publicité auprès des clients (potentiels) est dans l'intérêt des responsables de traitement. Cependant, le législateur classe cet intérêt comme moins important en offrant aux personnes concernées une possibilité simplifiée de s'y opposer. L'objection n'a pas à être justifiée. Lors de la pesée des intérêts, les intérêts des clients concernés prévalent également.
Une attente raisonnable prévaut
Lors de l'équilibrage des intérêts, les responsables de traitement doivent tenir compte, entre autres, des attentes raisonnables des clients.
"Cependant, les personnes concernées ne s'attendent généralement pas à ce que les responsables utilisent des bases de données à grande échelle pour identifier leur inclination vers certaines catégories de produits ou canaux de communication", explique Barbara Thiel, responsable de la protection des données du Landër. Dans ces cas, les responsables ne peuvent donc invoquer une mise en balance des intérêts et doivent plutôt obtenir le consentement.
Si des organismes externes sont également inclus (par exemple, des agences de crédit), les données de différents domaines de la vie peuvent être liées et des profils plus précis peuvent être créés. Les clients ne doivent pas s'y attendre, c'est pourquoi le consentement doit également être obtenu pour cela.