Actualités
🇪🇸 Quand une simulation de prêt sur un site Web se transforme en un prêt…
Droit à l’effacement non respecté : une banque sanctionnée par l’AEPD
📄 Source : PS 00196-2024
📝 Faits :
Un citoyen a effectué une simulation de prêt sur un site comparateur, Crezu.es. Ce site collecte les données des utilisateurs et les transmet via une API pour proposer une offre adaptée.
🔄 Crezu a redirigé l’utilisateur vers la banque Kviku.es, qui a généré automatiquement une offre de prêt.
⚠️ Contrairement aux banques classiques (signature électronique), les fonds ont été versés sur le compte de l’utilisateur sans consentement explicite.
🤔 L’utilisateur n’avait peut-être pas conscience qu’il validait un prêt, ou les conditions d’acceptation étaient ambiguës.
🚀 Kviku utilisait un processus accéléré, où la simple validation sur Crezu.es suffisait à activer le prêt.
💸 L’utilisateur a immédiatement remboursé le montant non sollicité, avec les intérêts.
🗑️ Il a ensuite demandé la suppression de ses données personnelles, mais :
• ❌ Kviku a ignoré la demande
• 💰 Kviku a continué à exiger des paiements supplémentaires
• ⚠️ Ils ont menacé d’inscrire l’utilisateur dans un fichier de crédit (ASNEF) pour dettes impayées
❗ N’ayant pas pu faire valoir ses droits, l’utilisateur a déposé plainte auprès de l’AEPD en juin 2023.
⚖️ Violations constatées par l’AEPD :
1️⃣ Violation du principe de limitation de conservation des données (Article 5.1.e du RGPD)
• 📂 Kviku a conservé les données de l’utilisateur sans justification valable.
• 🛑 La politique de confidentialité indiquait que les données étaient conservées même en l’absence de validation du prêt.
• ⏳ Le RGPD impose de supprimer les données une fois la finalité atteinte.
2️⃣ Non-respect du droit à l’effacement (droit à l’oubli) (Article 17 du RGPD)
• 🗑️ L’utilisateur a exercé son droit, mais Kviku n’a ni répondu ni exécuté la suppression.
• ⏳ L’entreprise devait traiter la demande sous un mois, ou justifier un refus.
• ❗ Kviku a au contraire continué à contacter l’utilisateur pour réclamer de l’argent.
💰 Conséquences et sanctions :
Sanction administrative : 6 000 €
• 💶 4 000 € pour durée de conservation excessive des données (article 5.1.e)
• 🛑 2 000 € pour non-respect du droit à l’effacement (article 17)
• 📜 Obligation de mettre à jour la politique de conservation et de répondre aux demandes de suppression sous 3 mois