Le 04 janvier 2024, l’association None Of Your Business (plus communément connue sous l’appellation “NYOB”) a introduit une plainte auprès de l’autorité autrichienne de protection des données, contre une association de créanciers.
Les faits reprochés à l’association
Cette action fait suite à des accusations selon lesquelles l’association monétiserait le droit d’accès aux données personnelles, un service qui devrait être gratuit selon l’article 15 du Règlement Général sur la Protection des Données. L’association aurait utilisé des tactiques trompeuses sur ses sites internet pour encourager les individus à acheter un “InfoPass” coûteux, plutôt que de bénéficier de l’accès gratuit à leurs données.
Cette pratique semblerait par ailleurs cibler particulièrement les étrangers. Par exemple, pour prouver leur solvabilité financière – une exigence pour obtenir un visa autrichien ou prolonger un permis de séjour – les personnes doivent fournir des données financières au département de l’immigration de Vienne, qui les demande justement à l’association.
Le “InfoPass”, vendu 43 euros, est présenté par l’association comme nécessaire pour répondre aux exigences du département de l’immigration, et l’association aurait délibérément masqué le fait que ces informations peuvent être obtenues gratuitement en vertu de l’article 15 du RGPD.
Comment traiter normalement une demande de droit d’accès ?
Le RGPD est le règlement qui vise à renforcer et à unifier la protection des données personnelles pour tous les individus de l’Union européenne (UE) et au sein de l’UE. Il impose aux organismes privés et publics des règles strictes concernant le traitement des données personnelles, garantissant que les informations des individus sont manipulées avec soin, transparence, et uniquement pour les finalités pour lesquelles elles ont été collectées.
Parmi les différents droits des personnes prévus par le RGPD, le droit d’accès est un droit permettant à une personne :
– d’obtenir une copie de ses données personnelles détenues par l’organisme ;
– de demander des informations à l’organisme concernant les raisons et les manières dont ce dernier traite les données.
Le RGPD prévoit que tout organisme doive informer les personnes dont il traite les données des droits que confère le RGPD et mettre à disposition des personnes des moyens simples d’exercer leurs droits (habituellement : une adresse postale et une adresse électronique dédiées).
Toute demande de droit est normalement GRATUITE (il existe cependant des exceptions à ce principe) et une réponse doit être apportée au demandeur dans un délai de 30 jours.