Blog Données personnelles
La non-conformité des traitements de données réalisés par des sociétés aux fins d’établir un score sur la solvabilité d’une personne physique sans consentement
La Cour de Justice de l’Union Européenne (ci-après désignée la « CJUE ») a rendu deux arrêts le 7 décembre dernier à l’encontre d’une société allemande, la société Schufa.
La société Schufa constitue des bases de données comprenant des informations commerciales. Ces données proviennent notamment de registres publics. Parmi ces informations figurent des informations relatives à des libérations de reliquat de dette. Sur la base de ces informations, elle fournit à ses partenaires contractuels des informations sur la solvabilité des personnes. En sus, grâce à ces informations, la société Schufa établit un score de solvabilité des personnes concernées.
La CJUE a été saisie à la suite de deux dépôts de plainte déposées auprès de l’Autorité de Protection des Données de Hesse concernant la société Schufa.
La première plainte concernait le refus de faire droit à une demande d’exercice de droit à l’effacement adressée par une personne concernée à la société Schufa concernant ses données d’insolvabilité, alors que ces dernières avaient d’ores et déjà été supprimées du registre public d’insolvabilité.
La seconde plainte émanait d’une personne concernée qui s’était vue refuser l’octroi d’un crédit suite à la communication d’un score de solvabilité par la société Schufa à l’établissement de crédit interrogé. La personne concernée a contesté la conformité des traitements de données réalisés par la société Schufa.
L’Autorité de Protection des Données de Hesse a considéré que les traitements de données mis en œuvre par la société Schufa étaient conformes aux dispositions du RGPD et à la réglementation allemande.
Ces décisions de l’Autorité de Protection des Données de Hesse ont fait l’objet d’un recours devant le tribunal allemand compétent qui a interrogé la CJUE sur l’interprétation des dispositions du RGPD concernant les problématiques soulevées dans le cadre de ces deux plaintes.
S’agissant de la première plainte, la CJUE interdit la société Schufa de conserver des informations sur des annulations de dettes si elles servent à fournir des indications sur la solvabilité de leur bénéficiaire. En effet, aucune base légale ne justifie que la société Schufa conserve les données à caractère personnel provenant d’un registre public à cette fin, au-delà de la durée de conservation durant laquelle ces informations sont conservées dans le registre public.
S’agissant de la seconde plainte, sur le fondement de l’article 22 du RGPD, la CJUE juge illégale l’utilisation par la même société de données personnelles pour établir un score de solvabilité sans le consentement de la personne.