CONTACT

Quand le RGPD interdit la tenue d’une « liste noire » 

07 janvier 2026 | Alexandre Fievée et Valentin Vauge|

L’autorité de contrôle espagnole a sanctionné une société de location de véhicules qui avait inscrit un client sur une « liste noire ». 

I/ L’inscription du locataire sur une « liste noire »

A la suite du vol d’un véhicule de location survenu en 2018, la société a, sans en avertir le locataire, inscrit celui-ci sur une « liste noire », le privant de la possibilité de louer à nouveau un véhicule. 

Quelques années plus tard, en 2021, ce locataire a sollicité la société, qui a refusé de lui louer un nouveau véhicule. Pour justifier ce refus, elle se fondait sur (i) ses conditions particulières, lesquelles prévoient la possibilité de refuser une location en cas « d’incident grave » et (ii) sa politique de confidentialité, qui rappelle également cette faculté.

La personne concernée a déposé une plainte auprès de l’autorité de contrôle, estimant que ses données avaient été traitées sans base légale.

II/ La « liste noire » n’a pas de base légale

L’autorité de contrôle a, tout d’abord, considéré que l’inscription de clients sur une « liste noire » ne peut pas reposer sur la base légale du contrat « dans la mesure où ce traitement ne prend pas fin à l’expiration de la relation contractuelle et se poursuit à des fins différentes ». 

Elle a ensuite estimé que le traitement ne peut pas davantage être fondé sur l’intérêt légitime puisque le traitement a été effectué « de manière cachée ».

L’autorité de contrôle s’est toutefois demandée si la base légale de l’intérêt légitime aurait pu être mobilisable si la personne concernée avait été correctement informée.

À cet égard, elle a reconnu que si l’intérêt en question pouvait être qualifié de « légitime », le traitement n’était pas pour autant « nécessaire ». Selon elle, l’objectif pouvait raisonnablement être atteint par des moyens moins intrusifs ou présentant un impact moindre sur les droits des personnes concernées (sans détailler quels moyens moins intrusifs la société aurait pu mettre en œuvre). 

En outre, selon l’autorité, le traitement portait atteinte aux attentes raisonnables du client en produisant des « effets négatifs et préjudiciables » susceptibles de conduire à une forme de « discrimination » des personnes.

Compte tenu de ce qui précède, l’autorité de contrôle a infligé au loueur une amende de 100 000 €.

Source : AEPD (Espagne), 16 octobre 2025, ps-00215-2024

    articles similaires

    | Alexandre Fievée et Valentin Vauge

    Quand le RGPD pousse un organisme à arrêter son activité 

    L’autorité de contrôle néerlandaise a sanctionné une société qui proposait des prestations de vérification de la solvabilité de consommateurs car les traitements de données personnelles réalisés n’étaient fondés sur aucune...

    | Derriennic Associés

    Le profilage opéré par une banque doit se fonder sur le consentement de ses clients

    L’autorité de contrôle de Basse-Saxe a constaté que de nombreuses banques détournaient l’utilisation de données personnelles de leurs clients, initialement traitées de manière licite, afin d’effectuer du profilage publicitaire illicite.

    | Alexandre FIEVEE et Valentin VAUGE

    Vidéosurveillance : le co-propriétaire avait un intérêt légitime

    L’autorité de contrôle bulgare a considéré qu’un dispositif de vidéosurveillance pouvait être fondé sur un intérêt légitime suffisant en raison de l’existence de comportements illicites antérieurs.

    Personnalisation des cookies

    Cookies strictement nécessaires

    Cette option doit être activée à tout moment afin que nous puissions enregistrer vos préférences pour les réglages de cookie.

    Cookies de mesures d'audience

    Ce site utilise Matomo à des fins statistiques (cookies de mesure d’audience). Ils permettent de savoir combien de fois une page déterminée a été consultée. Nous utilisons ces informations uniquement pour améliorer le contenu de notre site Internet.

    Il s’agit des cookies suivants :

    _ga : Ce cookie permet d’identifier les visiteurs du site via l’adresse IP de l’utilisateur. Elle est ensuite anonymisée par Matomo Analytics.

    _gat_gtag_UA_162039697_1 : Ce cookie permet de limiter le nombre de requêtes simultanées au site et d’éviter les bugs

    _gid : Ce cookie permet d’identifier les visiteurs du site via leur adresse IP (conservation de 24h). Elle est ensuite anonymisée par Matomo Analytics.

    Vous pouvez consulter la page dédié à la protection des données de Matomo