Les violations du règlement général sur la protection des données (RGPD) peuvent coûter cher. Cela, une banque en ligne a dû en faire l’expérience en devant payer une amende de 300.000 euros.
Le règlement général sur la protection des données – abrégé RGPD – n’est pas un tigre de papier sans dents. De plus en plus d’entreprises doivent en faire l’expérience, se voyant infliger des amendes pour des violations du RGPD. En effet, les autorités sont tenues de prononcer des amendes qui se font sentir, selon le cabinet d’avocats MTR Legal Rechtsanwälte, qui conseille notamment en droit des technologies de l’information et en protection des données.
Dans le cas présent, le commissaire de Berlin pour la protection des données et la liberté d’information (BInBDI) a infligé une amende à une banque pour manque de transparence dans les décisions automatisées. Cela concerne les décisions prises par un système informatique sur la base d’algorithmes sans intervention humaine. Selon le RGPD, de telles méthodes doivent respecter des obligations spécifiques en matière de transparence que la banque n’a pas respectées.
Concrètement, il s’agissait d’une demande de crédit que la banque a traitée sur la base d’algorithmes. Le demandeur devait notamment communiquer des informations sur sa profession, ses revenus et son identité personnelle. L’algorithme a pris une décision automatisée sur la base de ces données ainsi que d’autres et a rejeté la demande sans explications supplémentaires. Le client a été surpris par le refus puisqu’il avait un revenu régulier élevé et un bon score de crédit. Il a donc demandé à la banque pourquoi la demande avait été refusée.
Cependant, la banque n’a donné que des informations générales sur la procédure de notation, sans aborder le cas particulier. Le client n’a donc pas pu comprendre sur la base de quelles données et facteurs sa solvabilité avait été mal évaluée et la demande refusée. Mais sa plainte auprès du délégué à la protection des données de Berlin a été couronnée de succès.
Dans le cas de décisions automatisées, les entreprises sont tenues de les justifier de manière convaincante et compréhensible. La banque aurait dû informer des principaux motifs du refus. Or, elle ne l’a pas fait de manière transparente et compréhensible même sur demande. Ainsi, selon le commissaire à la protection des données, elle a enfreint les articles 22 par. 3, 5 par. 1 lit. a et 15 par. 1 lit. h du RGPD.
MTR Legal Rechtsanwälte conseillent sur les questions de droit des technologies de l’information et de la protection des données.
Prenez contact !➤ Avocat en droit des TI – en savoir plus maintenant !
