Le profilage n’est en aucun cas un simple terme utilisé dans la lutte contre la criminalité. Il est désormais également utilisé sur Internet comme base pour créer des publicités personnalisées. Depuis quelque temps, cette approche constitue une épine dans le pied des autorités chargées de la protection des données, car de nombreux utilisateurs ne sont même pas conscients des quantités gigantesques de données qui sont parfois collectées auprès d’eux. En règle générale, le consentement explicite de l’utilisateur est une condition préalable à la légalité du profilage. La Hannoversche Volksbank semble désormais avoir ignoré cette réglementation. La banque souhaitait ouvrir de nouvelles opportunités publicitaires ciblées. Elle a évalué les données collectées et les a transmises à Schufa – sans consentement. Cette violation flagrante du RGPD se traduit désormais par une lourde amende.
Amende de 900 000 euros pour profilage
Un exemple allemand montre clairement à quel point une violation du règlement général sur la protection des données (RGPD) peut coûter cher. La Hannoversche Volksbank aurait utilisé les données de ses clients actuels et anciens à des fins publicitaires et sans leur consentement dans le sens d’un profilage. L’objectif était de pouvoir afficher une publicité personnalisée. La commissaire à la protection des données de Basse-Saxe, Barbara Thiel, n’est bien sûr pas satisfaite de cette situation. En conséquence, elle a infligé une lourde amende de 900 000 euros à la banque, invoquant une violation du RGPD, applicable dans toute l’Europe.
Celui-ci stipule que la publicité personnalisée n’est possible que dans des cas exceptionnels sans le consentement exprès de la personne concernée. Le fait que la Hannoversche Volksbank ait demandé le soutien de la Schufa pour l’évaluation des données est particulièrement éhonté. C’est ce qui ressort d’un rapport du taz. Les données de l’agence de crédit devaient alors servir d’objet de comparaison afin que la banque puisse faire correspondre le comportement d’utilisation qu’elle avait elle-même collecté et donc aussi les données de ses clients. De plus, les données Schufa étaient censées être incluses comme paramètres supplémentaires dans les profils clients.
Recherche ciblée de groupes de personnes auprès desquels faire de la publicité
La Hannoversche Volksbank a apparemment délibérément opté pour son profilage à la recherche d’un certain maître de clientèle. Il s’est concentré sur les personnes qui, par exemple, utilisaient rarement une imprimante de relevés et effectuaient régulièrement des paiements dans des magasins en ligne tels que l’App Store d’Apple. Bref, l’accent a été évidemment mis sur les personnes parfaitement à l’aise à l’ère numérique. Il n’est donc pas surprenant que le délégué à la protection des données Thiel ait tiré la conclusion des actions de la banque. Selon elle, la banque souhaitait identifier les personnes ayant un penchant pour les médias numériques. Ceux-ci doivent être contactés après un « filtrage » réussi, principalement par voie électronique.
Peut-être pas un cas isolé
En regardant cette affaire, on pense vite au scandale du diesel qui a éclaté il y a quelques années. Il s’est avéré au fil du temps que de plus en plus d’entreprises trompaient leurs clients et donnaient de fausses valeurs d’émissions. En conséquence, Thiel suppose également que la Hannoversche Volksbank n’est certainement pas un cas isolé. Selon sa déclaration, l’autorité de protection des données a reçu entre-temps à plusieurs reprises des informations selon lesquelles d’autres entreprises utilisaient également cette procédure. Tout d’abord, ils collectent les données des clients et les comparent ensuite avec les données de la Schufa ou d’autres agences de crédit comparables.
Les entreprises justifient toujours la finalité du profilage par un « intérêt légitime » qui, selon le RGPD, permet une telle collecte de données même sans consentement. Cependant, Thiel souligne à nouveau dans sa déclaration que le profilage dans ce sens n’est en aucun cas couvert par ces faits. La Hannoversche Volksbank en est donc évidemment coupable. La publicité personnalisée joue un rôle particulièrement important dans le cas des bannières de cookies, très impopulaires. Le Royaume-Uni a entre-temps joué un rôle pionnier dans la lutte contre les insertions gênantes. Google a annoncé en 2020 qu’il interdirait cela sur son navigateur Chrome interne. Malheureusement, le projet a de nouveau été reporté et ne devrait pas arriver dans le navigateur avant 2024.
