L’ICO critique Experian sur le traitement des données « invisible »

L’agence de référence de crédit (CRA) Experian doit apporter des changements importants à la façon dont elle traite les données personnelles des personnes dans le cadre de sa pratique de marketing direct – sous peine de sanctions en vertu d’un nouvel avis d’exécution émis par le Bureau du Commissaire à l’information du Royaume-Uni (ICO).

Cette commande fait suite à une enquête de deux ans sur les pratiques de traitement des données utilisées par Experian et ses concurrents, Equifax et TransUnion, qui ont constaté d’importantes défaillances en matière de protection des données dans chacune d’elles.

Au cours de l’enquête, l’OIC a constaté que chaque agence « échangeait, enrichissait et améliorait » les données personnelles des personnes à leur insu pour développer des produits qui étaient ensuite vendus à des organisations commerciales, à des partis politiques et à des organismes de bienfaisance. Il a déclaré que ce traitement des données « invisible » touchait des millions d’adultes au Royaume-Uni qui ignoraient que leurs données étaient collectées et utilisées de cette manière – une violation du Règlement général sur la protection des données (GDPR).

« Notre enquête a mis au jour des défaillances en matière de protection des données qui ont probablement affecté des millions d’adultes au Royaume-Uni », a déclaré la commissaire à l’information Elizabeth Denham. « Notre enquête a changé la façon dont les agences de référence en matière de crédit exploitent leurs services de marketing direct hors ligne. Il a trouvé un traitement invisible, permettant aux gens de mieux comprendre comment leurs données sont utilisées, ce qui signifie que les gens peuvent exercer leurs droits à la vie privée et à la protection des données.

« Les renseignements que les ACR ont le privilège de détenir à des fins de référence de crédit légales ont été utilisés illégalement par eux en leur qualité de courtier en données, en tenant peu compte de ce que les gens pourraient vouloir ou s’attendre. »

L’enquête a également mis au jour un certain nombre d’autres lacunes en matière de protection des données dans les ACR, y compris un manque de transparence dans ce que les agences ont dit aux gens qu’ils faisaient avec leurs données, et l’utilisation incorrecte de bases légales pour le traitement des données.

Equifax et TransUnion ont tous deux accepté les conclusions de l’OIC et ont retiré un certain nombre de produits et de services. Toutefois, a déclaré le chien de garde, Experian n’a pas accepté qu’il était tenu d’apporter des changements et, en tant que tel, n’est pas prêt à délivrer des renseignements personnels directement aux individus, ou de cesser d’utiliser les données de référence de crédit à des fins de marketing direct.

« Le secteur du courtage de données est un écosystème complexe où l’information semble être largement échangée, sans tenir compte de la transparence, donnant peu ou pas de choix ou de contrôle à des millions d’adultes au Royaume-Uni sur leurs données personnelles », a déclaré M. Denham. « Le manque de transparence et le manque de bases légales, combinés à la nature intrusive du profilage, ont entraîné une violation grave des droits des individus en matière d’information.

« Le commerce des données personnelles avec d’autres organisations a des implications au-delà de l’industrie. La perturbation du flux de données personnelles non conformes aura un impact significatif non seulement dans l’ensemble du secteur, mais elle générera des avantages pour les individus et les organisations partout où ces données sont utilisées.

M. Denham a ajouté : « Je suis encouragé par la volonté d’Equifax et de TransUnion de changer leurs pratiques et de mettre les droits légaux des gens au premier plan. Maintenant, je m’attends à ce que le secteur du courtage de données fasse les mêmes engagements.

L’OIC a publié un avis d’exécution obligeant Experian à apporter des changements dans les neuf mois sous peine d’une amende pouvant aller jusqu’à 20 millions d’euros, soit 4 % de son chiffre d’affaires annuel mondial, dans le cadre du GDPR.

L’avis force Experian : informer les gens qu’il détient leurs données et comment il les utilise ou prévoit de les utiliser pour la commercialisation d’ici juillet 2021 ; cesser d’utiliser les données provenant du volet référencement de crédit de ses activités de commercialisation directe d’ici janvier 2021; améliorer la transparence quant aux données qu’elle recueille, d’où elles proviennent, à quoi elles servent, à qui elles sont vendues et pourquoi; de supprimer les données qui lui sont fournies sur la base légale du consentement qui est traitée en utilisant une base légale différente d’intérêt légitime; et d’arrêter le traitement des données personnelles qu’elle a collectées illégalement.

Brian Cassin, PDG d’Experian, a déclaré : « Nous ne sommes pas d’accord avec la décision de l’OIC aujourd’hui et nous avons l’intention de faire appel. Au fond, il s’agit de l’interprétation du RGDP et nous croyons que le point de vue de l’OIC va au-delà des exigences légales.

« Cette interprétation risque également de nuire aux services qui aident les consommateurs, des milliers de petites entreprises et d’organismes de bienfaisance, en particulier dans leur tentative de se remettre de la crise de Covide-19. »

M. Cassin a indiqué que bon nombre des entreprises qui utilisent les services de marketing d’Experian sont des PME de moins de 200 employés, dans des secteurs qui ont été durement touchés par Covide-19, comme le commerce de détail, les loisirs et les voyages.

Il a déclaré que les données fournies par Experian avaient aidé les autorités locales, les organisations du NHS, les banques alimentaires, les conseils et les organismes de bienfaisance à obtenir de l’aide à certaines des personnes les plus vulnérables au Royaume-Uni pendant la pandémie, et queavec la prévision du soutien du gouvernement pour les entreprises.

Cassin a également rejeté l’affirmation de l’OIC selon laquelle Experian n’était pas clair sur la clarté qu’elle fournit aux gens sur la façon dont elle utilise leurs données.