900 000 euros d'amende pour profilage sans consentement

900 000 euros d'amende pour profilage sans consentement
Jérôme de Mercey

Le commissaire d'État à la protection des données (LfD) de Basse-Saxe en Allemagne a infligé une amende de 900 000 euros à une banque. L'amende n'est pas encore définitive.

Les faits

L'entreprise avait évalué les données de clients actifs et anciens sans leur consentement. Pour ce faire, elle a analysé les comportements d'utilisation du numérique et évalué, entre autres, le volume total d'achats dans les app stores, la fréquence d'utilisation des imprimantes de relevés de compte et le montant total des virements dans la banque en ligne par rapport à l'utilisation de l'agence.

Pour cela, elle a fait appel à un prestataire de services. De plus, les résultats de l'analyse ont été comparés à une agence de crédit et enrichis à partir de là. L'objectif était d'identifier les clients ayant un penchant accru pour les médias numériques et d'utiliser davantage les canaux de communication électroniques pour s'adresser à eux à des fins contractuelles ou publicitaires. Les informations ont été envoyées à la plupart des clients à l'avance avec d'autres documents. Cependant, ceux-ci ne remplacent pas les consentements nécessaires.

Incompatible avec l'article 6-1 f

L'entreprise est accusée de ne pas être compatible avec l'article 6, paragraphe 1, point f) du règlement général sur la protection des données (RGPD) qui prévoit que le responsable de traitement peut traiter des données personnelles sur la base d'un équilibre des intérêts. Les intérêts de la personne concernée ne doivent pas prévaloir. Lors de la fixation de l'amende, il a été tenu compte du fait que l'entreprise n'avait pas utilisé les résultats de ses évaluations. L'entreprise a également été coopérative tout au long du processus.

Il est vrai que la publicité auprès des clients (potentiels) est dans l'intérêt des responsables de traitement. Cependant, le législateur classe cet intérêt comme moins important en offrant aux personnes concernées une possibilité simplifiée de s'y opposer. L'objection n'a pas à être justifiée. Lors de la pesée des intérêts, les intérêts des clients concernés prévalent également.

Une attente raisonnable prévaut

Lors de l'équilibrage des intérêts, les responsables de traitement doivent tenir compte, entre autres, des attentes raisonnables des clients.

"Cependant, les personnes concernées ne s'attendent généralement pas à ce que les responsables utilisent des bases de données à grande échelle pour identifier leur inclination vers certaines catégories de produits ou canaux de communication", explique Barbara Thiel, responsable de la protection des données du Landër. Dans ces cas, les responsables ne peuvent donc invoquer une mise en balance des intérêts et doivent plutôt obtenir le consentement.

Si des organismes externes sont également inclus (par exemple, des agences de crédit), les données de différents domaines de la vie peuvent être liées et des profils plus précis peuvent être créés. Les clients ne doivent pas s'y attendre, c'est pourquoi le consentement doit également être obtenu pour cela.

Source : https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/900-000-euro-bussgeld-gegen-kreditinstitut-wegen-profilbildung-zu-werbezwecken-213925.html


newsletter

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution *

*Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.

Infogreffe : sanction de 250 000 euros par la CNIL

La Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné Infogreffe d’une amende de 250 000 euros pour avoir manqué à p...

Jérôme de Mercey

🛠️ Note de mise à jour v1.3.1: Des changements du côté des Audits

L'équipe de développement a mis en production ce week-end une version mineure de Dastra (v1.3.1) apportant quelques changement du côté des A...

Vincent Portier

Données relatives aux préférences d'un utilisateur : données personnelles ou non ?

La décision de l'APD (Cnil belge) dans l'affaire IAB Europe (framework TCF) est portée devant la CJUE

Maëva Vidal

L'exercice du droit d’accès aux données de santé

Dans cet article, nous expliquons comment mettre en place une procédure de gestion des demandes d'accès au dossier médical.

Hugo Deguillaume

Envie de vous lancer ?

Découvrez Dastra en créant un compte en quelques minutes et commencez à cartographier vos traitements, faire des audits... Vous pouvez également nous contacter pour une démonstration adaptée à vos besoins.

Essayez gratuitement Demander une démo

Essai gratuit 30 jours - Sans carte bleue - Sans engagement