Les sociétés de notation de crédit opérant dans l’Union européenne pourraient être confrontées à des restrictions plus strictes en vertu des lois de l’Union sur la protection de la vie privée, à la suite d’un arrêt rendu aujourd’hui par la Cour de justice (CJUE). La saisine concerne des plaintes déposées contre les pratiques d’une société allemande d’évaluation du crédit, appelée Schufa, mais pourrait avoir une portée plus large pour les agences d’information sur le crédit opérant dans la région où s’applique le règlement général sur la protection des données (RGPD).
Une plainte examinée par la CJUE concernait un cas de conservation « prolongée » par la société de référencement de crédit d’informations relatives à l’octroi d’une libération des dettes restantes, qui ne sont conservées dans le registre public d’insolvabilité allemand que pendant six mois. Cependant, un code de conduite pour les agences allemandes d’information sur le crédit autorise une période de conservation de trois ans pour leurs propres bases de données. Et l’autorité de protection des données de Hesse avait rejeté la plainte concernant la conservation des données ; cherchant également à faire valoir que le tribunal local ne pouvait pas réviser sa décision. La CJUE n’était pas d’accord.
« La Cour considère qu’il est contraire au RGPD que des agences privées conservent ces données plus longtemps que le registre public d’insolvabilité », écrit-elle dans un communiqué de presse sur l’affaire C-634/21 (plus les affaires jointes C-26/22 et C-64/22). « L’apurement des dettes restantes vise à permettre à la personne concernée de réintégrer la vie économique et revêt donc une importance existentielle pour cette personne. Ces informations sont toujours utilisées comme facteur négatif lors de l’évaluation de la solvabilité de la personne concernée. Dans ce cas, le législateur allemand a prévu une conservation des données pendant six mois. Elle considère donc qu’à l’issue du délai de six mois, les droits et intérêts de la personne concernée priment sur ceux du public d’avoir accès à ces informations.
« Dans la mesure où la conservation des données est illégale, comme c’est le cas au-delà de six mois, la personne concernée a le droit de faire supprimer les données et l’agence est tenue de supprimer les données dans les plus brefs délais », a ajouté le tribunal.
La CJUE s’est également prononcée sur une deuxième plainte qui semble plutôt existentielle pour les sociétés de notation de crédit, dans la mesure où elle se demande si Schufa peut automatiquement émettre des notations de crédit, étant donné que le RGPD offre une protection aux personnes soumises à des décisions uniquement automatisées ayant des conséquences juridiques ou significatives sur elles. Donc, essentiellement, ils devront peut-être obtenir le consentement explicite des personnes pour obtenir une cote de crédit.
La Cour a jugé que le score de crédit de Schufa doit être considéré comme une « décision individuelle automatisée », ce qui, selon son communiqué, est « en principe interdit par le RGPD, dans la mesure où les clients de Schufa, comme les banques, lui attribuent un rôle déterminant dans l’octroi de crédit. »
Si ce type de notation de crédit sert de base à la décision d’une banque, par exemple, de refuser un crédit à un particulier, cette pratique risque de constituer une violation des règles européennes en matière de protection des données.
Toutefois, dans le cas concret, il appartiendra au tribunal administratif de Wiesbaden d’évaluer si la loi fédérale allemande sur la protection des données contient une exception valable à l’interdiction conformément au RGPD. Et, si tel est le cas, vérifier si les conditions générales posées par le RGPD pour le traitement des données sont respectées, comme par exemple s’assurer que les individus connaissent leur droit d’opposition et de demander (et obtenir) une intervention humaine, ainsi que d’être en mesure de fournir sur demande des informations significatives sur la logique de la notation de crédit.
« Contrôle judiciaire » des décisions de la DPA
Dans un autre arrêt important, la CJUE a également clairement indiqué que les tribunaux nationaux doivent pouvoir exercer ce que son PR appelle un « contrôle complet » sur toute décision juridiquement contraignante d’une autorité de protection des données.
Le groupe de défense de la vie privée noyb, qui a eu de multiples démêlés avec les APD en raison de leur incapacité à donner suite aux plaintes (et encore moins à faire appliquer) les plaintes, a saisi cet élément comme étant particulièrement important – le surnommant « contrôle judiciaire complet » des APD.
« L’arrêt de la CJUE a considérablement accru la pression sur les DPA. Dans certains États membres de l’UE, dont l’Allemagne, on a jusqu’à présent supposé qu’une plainte RGPD émanant des personnes concernées n’était qu’une sorte de « pétition ». Dans la pratique, cela signifie que malgré un budget annuel de 100 millions d’euros, les DPA allemandes ont rejeté de nombreuses plaintes avec des justifications bizarres et que les violations du RGPD n’ont pas donné lieu à des poursuites. Dans des pays comme l’Irlande, plus de 99 % des plaintes n’ont pas été traitées et en France, tout droit des personnes concernées à participer à la procédure concernant leurs propres droits a été refusé. Certaines DPA, comme l’autorité de Hesse dans la présente affaire, ont également fait valoir qu’il est interdit aux tribunaux de réviser leurs décisions en détail », a-t-elle écrit dans un communiqué de presse en réponse à la décision.
« La CJUE a désormais mis un terme à cette approche. Elle a statué que l’article 77 du RGPD est conçu comme un mécanisme permettant de protéger efficacement les droits et intérêts des personnes concernées. En outre, le tribunal a statué que l’article 78 du RGPD autorise les tribunaux nationaux à procéder à un contrôle complet des décisions de la DPA. Cela inclut l’évaluation si les autorités ont agi dans les limites de leur pouvoir discrétionnaire.
Des amendes plus élevées en vue du RGPD également ?
Ces deux arrêts importants font suite à un autre rendu hier par la CJUE (également via, en partie, un autre renvoi d’une affaire en Allemagne), qui, selon les experts juridiques, pourrait entraîner des sanctions considérablement plus élevées en cas de violation du RGPD, dans la mesure où il abaisse les exigences d’imposition d’amendes. entités juridiques.
Ainsi, même si, dans cette affaire (C-807/21), la Cour a estimé qu’un comportement fautif est nécessaire pour qu’une amende soit infligée – c’est-à-dire qu’une violation du RGPD doit avoir été commise « intentionnellement ou par négligence » – les juges ont également a déclaré que, lorsqu’un responsable du traitement est une personne morale, il n’est pas nécessaire que l’infraction ait été commise par son organe de direction, ni que cet organe ait eu connaissance de cette infraction.
Ils ont en outre stipulé que le calcul de toute amende exige que l’autorité de contrôle se base sur la notion « d’entreprise » au sens du droit de la concurrence » (c’est-à-dire, selon la Cour PR, que « le montant maximum de l’amende doit être calculé sur sur la base d’un pourcentage du chiffre d’affaires annuel mondial total de l’entreprise concernée, pris dans son ensemble, au cours de l’exercice précédent » – ou, en gros, que les revenus d’un groupe entier d’entreprises peuvent être utilisés pour calculer une pénalité RGPD pour une infraction commise par une seule unité de ce groupe).
Jan Spittka, associé du cabinet d’avocats Clyde & Co., prédit que des amendes plus lourdes en vertu du RGPD pourraient en résulter. « Le contexte général de la décision permettra aux autorités de contrôle de la protection des données des États membres de l’UE de sanctionner plus facilement les personnes morales et devrait également entraîner en moyenne des amendes nettement plus élevées », a-t-il suggéré dans un communiqué.
« Dans le contexte de cette norme, seul un système de conformité détaillé et strictement contrôlé en matière de protection des données peut mettre une personne morale en mesure de faire valoir qu’elle n’était pas consciente de l’illégalité de son comportement en ce qui concerne les violations du RGPD commises par un employé », a-t-il ajouté. dit. «En outre, une personne morale peut se disculper si ses représentants ou employés agissent totalement en dehors du cadre de leur description de poste, par exemple en utilisant abusivement des données personnelles à des fins privées.»