- Les déclarations de protection des données doivent mentionner les finalités du traitement de manière concrète et précise ; des formulations vagues telles que “finalités de marketing” ne suffisent pas.
- La banque était tenue de fournir au client des copies des données de compte des sept dernières années, conformément à l’article 15 du RGPD.
Le Tribunal administratif fédéral autrichien (Bundesverwaltungsgerict, BVwG) a, dans une Arrêt du 10 décembre 2018 (affaire W211 2188383 – 1) a statué sur la demande d’information d’une banque en matière de protection des données.
Indication des finalités du traitement
Tout d’abord, le TAF a estimé que l’indication des finalités du traitement dans une déclaration de protection des données devait être assez concrète :
Les indications de finalité telles que “amélioration de la convivialité”, “fins de marketing”, “fins de sécurité informatique”, “recherche future” sont trop générales. et ne remplissent pas le critère de précision suffisante. Il est conseillé de suivre une règle générale, indiquer un objectif en plus de trois mots en généralLa Commission a donc décidé d’adopter une approche plus globale, sans toutefois tomber dans des formulations excessives, confuses et compliquées. Des exemples pratiques de définition des finalités du traitement figurent à l’annexe 3 de la directive sur la protection des données. WP203 du groupe de travail “Article 29” sur la protection des données.
Il en ressort que non seulement l’inclusion des utilisations de données à des fins de marketing et de publicité dans la catégorie des “services connexes” n’est pas suffisamment concrète et transparente, mais qu’il n’est pas non plus possible d’établir une distinction entre les données à caractère personnel et les données à caractère personnel. les informations concernant uniquement les “fins de marketing et de publicité” ne suffiront pas. Compte tenu de la déclaration de protection des données de l’intimé, il aurait fallu au moins informer de la finalité du marketing direct”.
La responsable – une banque – avait à cet égard violé le droit à l’information du client.
Indication des destinataires
En revanche, les informations sur les destinataires des données n’étaient pas incomplètes. Certes, les services internes doivent également être considérés comme des “destinataires” lorsque les données personnelles sont utilisées pour un autre domaine d’activité. En l’occurrence, le service marketing ne devait malgré tout pas être indiqué comme destinataire :
En l’occurrence, il s’agit de savoir si les Service de publicité et de marketing et le département ” XXXX Gestion de l’expérience client“doivent être considérés comme “d’autres domaines d’activité” de l’intimée […]. Le Sénat a répondu par la négative : il convient de suivre les […] dans la mesure où ces deux domaines d’activité de l’intimée ne sont pas perçues comme suffisamment autonomes et “différentes”.Les services bancaires ne sont pas des services d’investissement, mais des services de soutien ou des services “accessoires” à l’activité principale, à savoir la banque.
Mise à disposition de copies
Le TAF a ensuite retenu que la banque était tenue, en vertu de l’article 15 du RGPD, de fournir au client une copie des données relatives aux mouvements de comptes des sept dernières années. La demande d’accès n’était notamment pas excessive, car c’était la première fois que le client demandait des informations. En outre, le client avait demandé des informations sur des données spécifiques, raison pour laquelle la banque ne pouvait pas non plus demander une précision des informations au sens du considérant 63, ce qui aurait été envisageable dans le cas d’une demande d’informations non spécifique.
Il n’a pas été question de droit local de mise en œuvre qui pourrait prévoir des restrictions sur la base de l’article 23 du RGPD ; en effet, contrairement à ce qui se passe par exemple Allemagne voit le loi de transposition autrichienne ne prévoit pas de limitation du droit d’accès.