L’Autorité de Protection des Données (AP) inflige une amende de 2,7 millions d’euros à Experian Pays-Bas pour utilisation illégale de données personnelles.
L’Autorité de Protection des Données (AP) a infligé une amende de 2,7 millions d’euros à Experian Pays-Bas, spécialisée dans l’évaluation de crédit et l’analyse de données. Jusqu’au 1er janvier 2025, l’entreprise fournissait des évaluations de crédit à ses clients en utilisant des données personnelles, telles que des informations sur les retards de paiement, les dettes impayées et les faillites. Selon l’AP, Experian a utilisé ces données de manière illégale et n’a pas suffisamment informé les personnes concernées. L’entreprise reconnaît ses erreurs et ne fera donc pas appel.
Évaluation de crédit à l’insu des personnes concernées
Jusqu’au 1er janvier 2025, Experian établissait des rapports de solvabilité pour des clients tels que des boutiques en ligne, des entreprises de télécommunications et des bailleurs. L’entreprise déterminait la solvabilité d’une personne sur la base, entre autres, du comportement de paiement, des dettes impayées et des faillites. Ces rapports jouaient un rôle dans les décisions concernant, par exemple, l’autorisation de paiement échelonné ou la souscription d’un abonnement téléphonique.
Les scores de crédit établis par Experian avaient des conséquences directes pour les consommateurs. Un score élevé pouvait conduire à des conditions plus favorables, comme un taux d’intérêt plus bas. Un score faible pouvait signifier qu’une personne était refusée ou devait payer une caution plus élevée.
L’Autorité de Protection des Données (AP) a lancé l’enquête sur Experian suite aux plaintes reçues des consommateurs. Ces derniers n’ont découvert qu’après coup que leur score de crédit était la raison du refus ou des coûts plus élevés, par exemple lors du changement de fournisseur d’énergie. Selon le président de l’AP, Aleid Wolfsen, les personnes ne pouvaient donc pas vérifier à temps si les informations étaient correctes.
Manque de transparence
L’enquête révèle qu’Experian collectait des données personnelles à partir de diverses sources, notamment le Registre du Commerce et des parties commerciales comme les entreprises de télécommunications. L’entreprise a ainsi constitué une vaste base de données, sans démontrer suffisamment pourquoi certaines données étaient nécessaires. Selon l’AP, il s’agissait dans certains cas d’informations sensibles dont l’utilisation n’était pas suffisamment justifiée.
lire aussi
Sunweb Group reconnaît une violation de données après une attaque de phishing via un serveur de messagerie externe
De plus, Experian n’informait pas suffisamment les consommateurs que leurs données étaient traitées pour des évaluations de crédit. L’entreprise a ainsi violé l’obligation d’information prévue par la législation sur la protection de la vie privée.
Experian reconnaît ses erreurs et ne fait pas appel de l’amende. L’entreprise a depuis cessé les activités concernées aux Pays-Bas. D’ici la fin de cette année, elle supprimera l’intégralité de la base de données contenant les données personnelles collectées.