L’autorité de contrôle de Basse-Saxe a constaté que de nombreuses banques détournaient l’utilisation de données personnelles de leurs clients, initialement traitées de manière licite, afin d’effectuer du profilage publicitaire illicite.
Une banque a fait appel à un prestataire externe afin de réaliser un profilage de ses clients (actuels et anciens). Dans les faits, la banque utilisait le « comportement numérique » de ses clients (achats en ligne ou sur des « stores » d’applications, virements auprès de banques en ligne, etc.) pour enrichir ses données à l’aide d’une agence tierce et leur proposer des publicités ciblées sur des services numériques.
Au cours de son enquête, l’autorité de contrôle a, certes, constaté que les personnes concernées avaient été informées de l’existence du profilage, conformément à l’article 13 du RGPD, mais qu’en dépit de cette information, le traitement ne reposait sur aucune base légale valide.
Effectivement, l’autorité de contrôle reproche à la banque d’avoir effectué ledit profilage en utilisant l’intérêt légitime comme base légale, alors que le consentement des personnes concernées aurait dû être recueilli. Il était impossible d’utiliser l’intérêt légitime de la banque car (i) les intérêts et les libertés et droits fondamentaux des personnes concernées prévalaient sur les intérêts légitimes poursuivis par la banque et (ii) les clients ne pouvaient pas raisonnablement s’attendre à ce que leur banque utilise à grande échelle les bases de données des clients pour établir des profils. Selon l’autorité de contrôle, l’intérêt légitime est d’autant plus difficile à justifier lorsque la banque fait appel à des organismes externes qui concatènent les données afin d’établir des profils encore plus précis des personnes concernées, comme ce fut le cas en l’espèce.
Pour toutes ces raisons, face à l’absence de consentement, seule base légale acceptable, l’autorité de contrôle a infligé à la banque une amende de 900 000 €.
Lien vers le communiqué de presse : ici
