Le Garant de la Vie Privée a infligé une amende d’un million d’euros au Crédit Agricole Auto Bank pour traitement illicite des données personnelles et de revenus des clients ayant demandé un financement pour la location longue durée d’une voiture.
La banque a accédé à la base de données Scipafi (Système Centralisé de Prévention de la Fraude) – également pour le compte de la filiale Drivalia, société de leasing automobile – tout en sachant qu’elle ne disposait pas de l’autorisation nécessaire du ministère de l’Économie et des Finances pour procéder à un tel accès. Auto Bank a justifié les chèques pour prévenir la fraude, l’insolvabilité ou d’autres événements similaires.
L’Autorité est intervenue à la suite d’une plainte d’un client qui se plaignait du fait que la Banque et Drivalia n’avaient pas répondu à sa demande de connaître les raisons du refus de location longue durée d’une voiture et de l’inscription de votre nom sur le formulaire. liste des mauvais payeurs.
En réponse à la demande d’informations de l’Autorité, la Banque a indiqué que le refus du prêt et l’inscription du nom sur la « liste noire » étaient dus au résultat négatif de la vérification de la situation des revenus du client effectuée dans la base de données Scipafi. .
Lors de l’enquête préliminaire complexe, le Garant a constaté que la Banque ne disposait pas de l’autorisation du Mef pour pouvoir consulter la base de données Scipafi pour le compte de Drivalia. De plus, l’accès avait eu lieu sans que la déclaration fiscale du client ait été acquise au préalable, document indispensable pour effectuer la comparaison avec les informations contenues dans Scipafi.
En quantifiant le montant de l’amende infligée à CA Auto Bank, l’Autorité a pris en compte la nature et la gravité de la violation.
Le Garant est également intervenu contre Drivalia en lui infligeant à nouveau une amende de 250 mille euros pour traitement illicite de données personnelles. L’Autorité a constaté que l’entreprise n’était pas autorisée par le Mef à acquérir et à traiter les données des clients présents chez Scipafi, même par l’intermédiaire de CA Auto Bank. Par ailleurs, les informations fournies aux clients ne permettaient pas, au moment des faits, d’identifier la nature et l’origine des données traitées, les bases de données consultées pour vérifier la situation de revenus des clients et si l’accès aux bases de données s’effectuait directement. par Drivalia ou via CA Auto Bank.
Dans le délai imparti, CA Auto Bank et Drivalia ont profité de la possibilité de mettre fin à la procédure en payant un montant réduit d’un montant égal à la moitié de l’amende infligée.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10043752