Les violations du règlement général sur la protection des données (RGPD) peuvent coûter cher. C’est ce qu’une banque directe a dû constater, qui doit payer une amende de 300 000 euros.
Le règlement général sur la protection des données – abrégé RGPD – n’est pas un tigre de papier sans dents. De plus en plus d’entreprises doivent en faire l’expérience, car elles sont tenues de payer pour des violations du RGPD. Les autorités sont tenues d’imposer des amendes qui sont perceptibles, selon le cabinet de conseil juridique MTR Legal, qui conseille notamment en droit IT et en matière de protection des données.
Dans le cas présent, le délégué à la protection des données et à la liberté d’information de Berlin (BInBDI) a infligé une amende à une banque pour manque de transparence dans les décisions automatisées. Il s’agit de décisions prises par un système informatique à l’aide d’algorithmes, sans intervention humaine. Selon le RGPD, ces mécanismes sont soumis à des obligations de transparence spécifiques, que la banque n’a pas respectées.
Il s’agissait concrètement d’une demande de prêt, traitée par la banque sur la base d’algorithmes. Le demandeur doit notamment fournir des informations sur son métier, ses revenus et ses données personnelles. L’algorithme a pris une décision automatisée basée sur ces données et d’autres encore, rejetant la demande sans explication supplémentaire. Le client était surpris du refus, car il dispose d’un revenu régulier élevé et d’un bon score Schufa. Il a donc demandé à la banque pourquoi la demande avait été rejetée.
La banque a cependant fourni des informations générales sur la procédure de scoring, sans se référer au cas particulier. Le client n’a donc pas pu comprendre sur la base de quelles données et facteurs sa solvabilité a été mal évaluée et sa demande rejetée. Cependant, sa plainte auprès du délégué à la protection des données de Berlin a abouti.
En cas de décisions automatisées, les entreprises sont tenues de les justifier de manière probante et compréhensible. La banque aurait dû informer des raisons essentielles du refus. Mais elle ne l’a pas fait de manière transparente et compréhensible, même sur demande. Ainsi, selon le délégué à la protection des données, elle a violé l’art. 22, al. 3, art. 5, al. 1, lit. a et art. 15, al. 1, lit. h du RGPD.
MTR Legal Rechtsanwälte conseillent sur les questions de droit IT et de la protection des données.
Contactez nous !➤ Avocat droit IT – en savoir plus maintenant !
