IMY (Suède), 10 octobre 2022
L’autorité de contrôle suédoise a prononcé un rappel à l’ordre à l’encontre d’une société pour avoir partagé des données personnelles avec une autre société dans un objectif de prévention d’une fraude sans l’avoir mentionné dans sa politique de confidentialité.
Un consommateur suédois a réalisé un achat en ligne sur un site allemand. Considérant l’adresse électronique fournie comme frauduleuse et réalisant que le consommateur avait fourni un numéro de fax au lieu de son numéro de téléphone, l’entreprise éditant le site a procédé à des investigations pour s’assurer que l’adresse électronique était correcte.
Pour ce faire, elle a communiqué l’adresse électronique du consommateur à un prestataire de services anti-fraude.
Ayant eu connaissance de ce traitement, le consommateur allemand a déposé une plainte.
Au cours de son enquête, l’autorité de contrôle suédoise a d’abord constaté que l’entreprise n’avait pas suffisamment informé le consommateur, dans sa politique de confidentialité, de la possibilité que des données personnelles puissent être partagées avec un prestataire de services anti-fraude. Effectivement, ladite politique indiquait uniquement que les données pouvaient être transmises à des « ressources externes », cette information n’étant, selon l’autorité de contrôle, « pas suffisamment spécifique pour satisfaire l’exigence de l’article 13 » du RGPD.
L’autorité de contrôle a ensuite considéré que la base légale sur laquelle s’appuyait la société, à savoir le « respect d’une obligation légale », n’était pas valable dès lors que, bien qu’une loi existait, les traitements effectués n’étaient pas « nécessaires ». En effet, « l’entreprise aurait pu prendre des mesures moins coercitives », par exemple en « s’abstenant de traiter la commande jusqu’à ce que le consommateur la recontacte » ou en envoyant une « lettre » ou un « fax ».
En revanche, l’autorité de contrôle a indiqué que « l’intérêt légitime » de la société aurait été une base légale valable pour justifier le traitement de données à caractère personnel à des fins de prévention de la fraude. Malheureusement, l’entreprise n’a pas utilisé cette base légale pour justifier la licéité de son traitement…
Compte tenu de ce qui précède, l’autorité de contrôle suédoise a prononcé un rappel à l’ordre à l’encontre de la société pour avoir traité les données personnelles du consommateur sans base légale et pour n’avoir pas fourni d’information suffisante sur (i) l’existence d’un transfert de données à caractère personnel à des fins de lutte contre la fraude et sur (ii) les destinataires de ces dernières.
Lien : ici