Contenu

Enquête droit d'accès : Moneyhouse

Deuxième épisode de l'enquête sur le droit d’accès. Après fedpol, voici Moneyhouse. Cette société privée appartient au groupe NZZ et a pour but social de faire du renseignement économique. Décriées, ses activités ont fait l’objet d’une enquête du Préposé fédéral à la protection des données et à la transparence (PFPDT), qui a récemment porté le cas devant le Tribunal administratif fédéral afin qu’il tranche certains points encore litigieux. J’ai donc demandé mes données à Moneyhouse, et voici ce que j’ai obtenu.

Demande d’accès ou de suppression ?

Le 12 mai 2015, ma demande d’accès a été expédiée (suivi de l’envoi). Comme vous pouvez le voir sur la lettre type que j’ai publiée, j’ai demandé à savoir quelles étaient les données que traitait Moneyhouse, ainsi que la base légale du traitement, la source, etc.

La réponse m’est parvenue le 14 mai 2015. Peut-être Moneyhouse est-il submergé de demande de suppression de données ? Toujours est-il qu’à ma demande d’accès, j’ai reçu une confirmation de suppression de données. Un peu étonné, je réécris quelques jours après la lettre suivante.

Il y a eu un malentendu. Dans mon précédent courrier, je ne demandais pas la suppression des données me concernant, mais je demandais à accéder aux données que vous aviez à mon sujet, comme la loi m’y autorise. Par conséquent, sur la base de l’art. 8 LPD, je réitère ma demande d’accès aux données personnelles que vous aviez (et avez sûrement toujours) à mon sujet, comme je vous l’avais demandé dans mon courrier du 12 mai 2015.

Quelques jours plus tard, je reçois un nouveau courrier de trois pages. Deux me donnaient des détails sur le traitement de données, la dernière contenait les données que Moneyhouse m’avait dit avoir supprimées. Je ne vous cache pas que j’ai souri.

Sources des données collectées

Moneyhouse déclare collecter des données à partir de sources publiques, en particulier :

  • les propres déclarations des individus (Internet, médias, etc.),
  • l’annuaire téléphonique,
  • les sites de compétitions sportives (par ex. Datasport),
  • les bulletins officiels de l’État (commune, canton, Confédération),
  • les registres officiels (par ex. commerce, foncier),
  • etc.

À partir de ces informations, il est possible à Moneyhouse de déterminer par exemple quels sont les membres de votre ménage, sur de simples recoupements d’informations. En ce qui me concerne, Moneyhouse avait les bonnes données à cet égard ; ma mère était néanmoins manquante.

D’autres données proviennent de tierces personnes, par exemple Schober Information Group ou, pour les données de solvabilité, CRIF SA. (Je vais donc demander à CRIF SA s’ils ont des données à mon sujet. Je publierai évidemment la lettre type.)

CRIF détient et gère un patrimoine de données exhaustif et de qualité très élevée, des systèmes avancés d’aide à la décision, des technologies hautement spécialisées, des logiciels. (source)

Base légale de la collecte et du traitement de données

Moneyhouse et d’autres sociétés collectent des données, et en publient une grande partie, sans notre consentement. J’en avais déjà parlé ici. C’était en 2012.

Et ils font cela en toute légalité, grâce à la loi sur la protection des données qui prévoit certaines exceptions à l’obligation d’obtenir le consentement. Ces exceptions se trouvent à l'art. 13 al. 2 LPD. Ce sont les lettres a à c qui entrent en ligne de compte ici et qui permettent à Moneyhouse de traiter des données à notre sujet si :

  • le traitement est en relation directe avec la conclusion ou l’exécution d’un contrat et les données traitées concernent le cocontractant;
  • le traitement s’inscrit dans un rapport de concurrence économique actuel ou futur avec une autre personne, à condition toutefois qu’aucune donnée personnelle traitée ne soit communiquée à des tiers;
  • les données personnelles sont traitées dans le but d’évaluer le crédit d’une autre personne, à condition toutefois qu’elles ne soient ni sensibles ni constitutives de profils de la personnalité et qu’elles ne soient communiquées à des tiers que si ceux-ci en ont besoin pour conclure ou exécuter un contrat avec la personne concernée.

La LPD interdit néanmoins le traitement de données sensibles ou de profils de la personnalité. De plus, les principes généraux de la LPD s’appliquent, notamment le principe de proportionnalité (art. 4 al. 2 LPD) qui interdit de traiter plus de données que ce qui est nécessaire.

Les conditions générales de Moneyhouse déclarent notamment qu’il ne garantit pas la justesse, l’intégralité ou l’actualité des données et des informations proposées sur moneyhouse.ch. La société se moquerait-elle totalement de l'art. 5 LPD ?

Celui qui traite des données personnelles doit s’assurer qu’elles sont correctes. Il prend toute mesure appropriée permettant d’effacer ou de rectifier les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées. Toute personne concernée peut requérir la rectification des données inexactes. (art. 5 LPD)

Moneyhouse collecte des données sans notre consentement, certes de façon légale, les publie, les met à disposition de tout un chacun gratuitement ou contre paiement, et compte sur les personnes concernées pour qu’elles fassent rectifier les données inexactes alors qu’elles ne sont même pas au courant que des données les concernant sont publiées ? C’est parfaitement scandaleux.

Conclusion

Moneyhouse a été rapide sur le traitement de ma demande. Tellement rapide qu’ils n’ont pas saisi le sens de ma requête. J’ai néanmoins obtenu les informations que je demandais, et il semble qu’elles aient été supprimées, bien que je ne l’aie pas expressément demandé (mais je l’aurais fait). De ce point de vue, Moneyhouse a été efficace. Cela n’empêche pas qu’ils font un business douteux, à mon avis, bien que légal, malheureusement.

Ci-joint, les réponses de Moneyhouse à ma demande et les données qu’il avait à mon sujet (un peu caviardée, évidemment).