Les sociétés de notation de crédit sont confrontées à des restrictions après une protection historique des données dans l’UE.


« La Cour considère qu’il est contraire au RGPD que des agences privées conservent ces données plus longtemps que le registre public d’insolvabilité », écrit-elle dans un communiqué de presse sur l’affaire. C-634/21 (plus affaires jointes C-26/22 et C-64/22). « L’apurement des dettes restantes vise à permettre à la personne concernée de réintégrer la vie économique et revêt donc une importance existentielle pour cette personne. Ces informations sont toujours utilisées comme facteur négatif lors de l’évaluation de la solvabilité de la personne concernée. Dans ce cas, le législateur allemand a prévu une conservation des données pendant six mois. Elle considère donc qu’à l’issue du délai de six mois, les droits et intérêts de la personne concernée priment sur ceux du public d’avoir accès à ces informations.

« Dans la mesure où la conservation des données est illégale, comme c’est le cas au-delà de six mois, la personne concernée a le droit de faire supprimer les données et l’agence est tenue de supprimer les données dans les plus brefs délais », a ajouté le tribunal.

La CJUE s’est également prononcée sur une deuxième plainte qui semble plutôt existentielle pour les sociétés de notation de crédit, dans la mesure où elle se demande si Schufa peut automatiquement émettre des notations de crédit, étant donné que le RGPD offre une protection aux personnes soumises à des décisions uniquement automatisées ayant des conséquences juridiques ou significatives sur elles. Donc, essentiellement, ils devront peut-être obtenir le consentement explicite des personnes pour obtenir une cote de crédit.

La Cour a estimé que le score de crédit de Schufa doit être considéré comme une « décision individuelle automatisée », ce qui, selon son communiqué, est « en principe interdit par le RGPD, dans la mesure où les clients de Schufa, comme les banques, lui attribuent un rôle déterminant dans l’octroi de crédit ».

Si ce type de notation de crédit sert de base à la décision d’une banque, par exemple, de refuser un crédit à un particulier, cette pratique risque de constituer une violation des règles européennes en matière de protection des données.

Toutefois, dans le cas concret, il appartiendra au tribunal administratif de Wiesbaden d’évaluer si la loi fédérale allemande sur la protection des données contient une exception valable à l’interdiction conformément au RGPD. Et, si tel est le cas, vérifier si les conditions générales posées par le RGPD pour le traitement des données sont respectées, comme par exemple s’assurer que les individus connaissent leur droit d’opposition et de demander (et obtenir) une intervention humaine, ainsi que d’être en mesure de fournir sur demande des informations significatives sur la logique de la notation de crédit.

« Contrôle judiciaire » des décisions de la DPA

Dans un autre arrêt important, la CJUE a également clairement indiqué que les tribunaux nationaux doivent pouvoir exercer ce que son PR appelle un « contrôle complet » sur toute décision juridiquement contraignante d’une autorité de protection des données.

Le groupe de défense de la vie privée noyb, qui a eu de multiples démêlés avec les APD en raison de leur incapacité à donner suite aux plaintes (et encore moins à faire appliquer) les plaintes, a saisi cet élément comme étant particulièrement important – le surnommant « contrôle judiciaire complet » des APD.

« L’arrêt de la CJUE a considérablement accru la pression sur les DPA. Dans certains États membres de l’UE, dont l’Allemagne, on a jusqu’à présent supposé qu’une plainte RGPD émanant des personnes concernées n’était qu’une sorte de « pétition ». Dans la pratique, cela signifie que malgré un budget annuel de 100 millions d’euros, les DPA allemandes ont rejeté de nombreuses plaintes avec des justifications bizarres et que les violations du RGPD n’ont pas donné lieu à des poursuites. Dans des pays comme l’Irlande, plus de 99 % des plaintes n’ont pas été traitées et en France, tout droit des personnes concernées à participer à la procédure concernant leurs propres droits a été refusé. Certaines DPA, comme l’autorité de Hesse dans la présente affaire, ont également fait valoir qu’il est interdit aux tribunaux de réviser leurs décisions en détail », a-t-elle écrit dans un communiqué de presse en réponse à la décision.

« La CJUE a désormais mis un terme à cette approche. Elle a statué que l’article 77 du RGPD est conçu comme un mécanisme permettant de protéger efficacement les droits et intérêts des personnes concernées. En outre, le tribunal a statué que l’article 78 du RGPD autorise les tribunaux nationaux à procéder à un contrôle complet des décisions de la DPA. Cela inclut l’évaluation si les autorités ont agi dans les limites de leur pouvoir discrétionnaire.

Des amendes plus élevées en vue du RGPD également ?

Ces deux arrêts importants font suite à un autre rendu hier par la CJUE (également via, en partie, un autre renvoi d’une affaire en Allemagne) qui, selon les experts juridiques, pourrait entraîner des sanctions considérablement plus élevées pour les violations du RGPD, dans la mesure où il abaisse les exigences d’imposition d’amendes aux personnes juridiques. entités.

Ainsi, même si, dans cette affaire (C-807/21), la Cour a estimé qu’un comportement fautif est nécessaire pour qu’une amende soit infligée – c’est-à-dire qu’une violation du RGPD doit avoir été commise « intentionnellement ou par négligence » – les juges ont également déclaré que , lorsqu’un responsable du traitement est une personne morale, il n’est pas nécessaire que l’infraction ait été commise par son organe de direction ; il n’est pas non plus nécessaire que cet organisme ait eu connaissance de cette infraction.

Ils précisent en outre que le calcul de toute amende impose à l’autorité de contrôle de se fonder sur la notion d’« entreprise » au sens du droit de la concurrence. (C’est-à-dire, selon la Cour PR, que « le montant maximum de l’amende doit être calculé sur la base d’un pourcentage du chiffre d’affaires annuel mondial total de l’entreprise concernée, pris dans son ensemble, au cours de l’exercice précédent » – ou, en gros, que les revenus d’un groupe entier d’entreprises peuvent être utilisés pour calculer une pénalité RGPD pour une infraction commise par une seule unité de ce groupe.)

Jan Spittka, associé du cabinet d’avocats Clyde & Co, prédit que des amendes plus lourdes en vertu du RGPD pourraient en résulter. « Le contexte général de la décision permettra aux autorités de contrôle de la protection des données des États membres de l’UE de sanctionner plus facilement les personnes morales et devrait également entraîner en moyenne des amendes nettement plus élevées », a-t-il suggéré dans un communiqué.

« Dans le contexte de cette norme, seul un système de conformité détaillé et strictement contrôlé en matière de protection des données peut mettre une personne morale en mesure de faire valoir qu’elle n’était pas consciente de l’illégalité de son comportement en ce qui concerne les violations du RGPD commises par un employé », a-t-il ajouté. dit. «En outre, une personne morale peut se disculper si ses représentants ou employés agissent totalement en dehors du cadre de leur description de poste, par exemple en utilisant abusivement des données personnelles à des fins privées.»

Code promo SCHOOL20

Laisser un commentaire