Aimeriez-vous avoir un permis pour enfreindre la loi ? La Suède est peut-être la destination de vos rêves : Grâce à une faille dans la législation nationale, les grands courtiers en données comme MrKoll peuvent simplement obtenir une "licence média", qui exempte l'ensemble de leurs activités de toute obligation découlant des lois strictes de l'UE en matière de protection de la vie privée. Des millions de Suédois sont ainsi privés de leur droit fondamental à la vie privée. noyb a déposé une plainte contre MrKoll en Suède pour contester cette pratique.
Une faille très problématique dans la loi suédoise. En Suède, n'importe qui peut obtenir une licence de média et être exempté du GDPR. Alors que l'article 85 du GDPR permet aux États membres de limiter l'application de certains éléments du GDPR dans le domaine du journalisme (par exemple pour protéger les sources ou les enquêtes sous couverture), la Suède a adopté une approche brutale de cette exception. La législation nationale suédoise rend extrêmement facile l'obtention d'une "licence média", même si les activités d'une entreprise n'ont pas le moindre rapport avec celles d'un organe d'information et sont manifestement axées sur le partage et la vente de données à caractère personnel. Même les courtiers en données, c'est-à-dire les entreprises privées qui achètent et vendent les données personnelles de millions de personnes à leur insu, peuvent utiliser cette faille pour s'exempter de toute obligation au titre du GDPR. Cela prive les citoyens de leur droit fondamental à la vie privée et expose leurs données les plus intimes à l'internet.
Vos données les plus personnelles, accessibles à tous. L'un des plus grands courtiers en données de Suède, MrKoll ("koll" signifie en suédois "vérifier" sur d'autres personnes), illustre très bien ce problème. L'entreprise possède des données sur la quasi-totalité de la population suédoise et réalise des bénéfices en les vendant à toute personne intéressée, sans la moindre mesure de protection ou de restriction. Les données vendues ne comprennent pas seulement les noms, prénoms, dates de naissance, numéros de téléphone, adresses du domicile et du lieu de travail. L'entreprise dispose également de données sur la valeur des biens immobiliers, la voiture conduite, les procédures civiles en cours, les sanctions, les casiers judiciaires et les dossiers détaillés. Presque toutes les informations sont fournies directement par les autorités suédoises. Il existe même une liste des personnes les plus recherchées sur le site web du courtier en données.
Stefano Rossetti, avocat spécialiste de la protection des données chez noyb: "Le modèle commercial des courtiers en données tels que MrKoll n'a rien à voir avec le journalisme. Au contraire, l'entreprise met les gens en danger en proposant leurs données personnelles à la vente en ligne à toute personne intéressée. Les autorités suédoises doivent enfin mettre fin à cet abus d'une loi initialement destinée à protéger les journalistes
Des données personnelles utilisées par des gangs et des criminels. Un exemple de ce à quoi peut conduire la vente publique de données par des sociétés comme MrKoll est illustré par un article du "Guardian" sur des bandes rivales qui utilisent des courtiers en données pour connaître l'emplacement géographique de leurs adversaires afin de perpétrer des attentats. Selon l'article, ces attentats à la bombe et ces attaques n'ont pas épargné des vies innocentes. L'année dernière, Soha Saad, 24 ans, aspirante enseignante, a été tuée par erreur par un explosif. Ce n'est qu'un exemple parmi tant d'autres. Les informations relatives à l'adresse des personnes, à leurs revenus, à la valeur de leur logement ou à leurs éventuels colocataires permettent la traque et facilitent grandement la vie des voleurs. Cette situation est aggravée par le fait que, contrairement à l'article 17 du GDPR, qui donne normalement à chacun le droit de s'opposer à l'utilisation de ses données personnelles, il n'existe actuellement aucun moyen de faire effacer ses données du site web de MrKoll. La demande de suppression des données du plaignant a été rejetée au motif que "la base de données n'est pas concernée par le règlement général sur la protection des données (RGPD)" en raison de la licence média de MrKoll
Sophia Hassel, avocate stagiaire chez noyb: "L'affaire MrKoll montre pourquoi il existe des limites strictes lorsque les États membres veulent s'écarter du GDPR.Donner carte blanche aux courtiers en données pour ignorer la législation de l'UE devrait être clairement considéré comme un pas de trop."
Plainte déposée auprès de l 'autorité suédoise. noyb a déposé une plainte auprès de l'autorité suédoise de protection des données (IMY). Noyb demande à MrKoll de supprimer les données du plaignant et d'en informer tous les destinataires. noyb demande également à l'autorité suédoise de protection des données d'ordonner l'interdiction absolue de tout traitement ultérieur des données du plaignant. Si l'autorité suédoise devait rejeter cette plainte sur la base de la loi nationale susmentionnée, noyb est tout à fait prête à passer à l'étape suivante et à faire appel à la Cour de Stockholm afin de mettre fin à l'utilisation abusive des licences des médias par les courtiers en données en général.