L’application Bonify de Schufa ne viole pas seulement les réglementations sur la protection des données. Cela permet également aux pays non membres de l’UE de nous surveiller.

Des années après l’introduction du Règlement général sur la protection des données (RGPD), certaines entreprises ont encore du mal à se conformer aux lois existantes sur la protection des données. Un exemple discutable est l’application Bonify, qui a été développée par Forteil GmbH et Schufa Holding AG.

Dans cet article, nous examinons de plus près la version 2.0.11 de l’application Bonify. Cependant, nous ne traiterons pas seulement les transferts de données problématiques sans consentement à divers fournisseurs tiers. Nous détaillerons également les risques non négligeables pour la vie privée des utilisateurs.

L’application Bonify présente un risque important pour la vie privée des utilisateurs

Dès le début de l’analyse que Mike Kuketz a effectuée sur le système d’exploitation Android, il a découvert que la version 2.0.11 de l’application Bonify contenait neuf trackers. Avant même que l’utilisateur n’interagisse pour la première fois, les données sont transmises sans consentement exprès, éclairé, volontaire et actif. Cela enfreint les réglementations applicables en matière de protection des données et présente un risque important pour la vie privée des utilisateurs.

Immédiatement après le lancement de l’application Bonify de Schufa, une connexion à Google Firebase (USA), une plate-forme de développement d’applications mobiles, est établie. Il existe également une connexion à Google Firebase Crashlytics (USA), un service permettant de créer et d’évaluer des rapports de plantage. Les deux connexions sont établies avant que l’utilisateur ne puisse donner son consentement, ce qui viole l’article 25 (1) TTDSG.

De plus, des données sont transmises à Facebook (États-Unis), y compris des données sur l’appareil telles que le modèle et la résolution ainsi que des informations sur l’application telles que le numéro de version. La transmission de l’identifiant publicitaire Google est particulièrement critique, car Facebook peut l’utiliser pour établir une connexion entre l’utilisateur et les informations transmises si l’application Facebook est installée sur l’appareil. Cela représente non seulement une violation de l’article 25 (1) TTDSG, mais également du RGPD, car l’identifiant publicitaire Google est considéré comme une caractéristique personnelle.

L’application viole les règles de protection des données et met en danger l’anonymat des utilisateurs

Bonify transmet des données personnelles à divers fournisseurs tiers sans le consentement nécessaire, violant ainsi la loi applicable en matière de protection des données.

1. Identification des utilisateurs : Lier l’identifiant publicitaire Google à d’autres informations personnelles permet à des entreprises comme Facebook de créer des profils détaillés d’utilisateurs. Cela permet à ces entreprises d’analyser le comportement et les préférences des utilisateurs et de proposer des publicités personnalisées. Une telle identification sans consentement viole les règles de protection des données et met en danger l’anonymat de l’utilisateur.
2. Collecte de données par des tiers : Le partage de données avec des tiers tels que Blueshift, Adjust et Twilio/Segment permet à ces entreprises de collecter des données utilisateur sur un large spectre. La combinaison de ces informations avec des renseignements préexistants provenant d’autres sources peut aboutir à un profil complet contenant des informations personnelles sensibles.
3. Absence de consentement : La transmission de données sans le consentement de l’utilisateur viole les principes de base de la protection des données. Le RGPD exige un consentement clair, éclairé et volontaire avant que les informations personnelles puissent être traitées. L’absence d’un tel consentement affecte considérablement les droits à la vie privée des utilisateurs.
4. Manque de transparence: La politique de confidentialité de Bonify suggère que le traitement des données est basé sur le consentement. En fait, cependant, les informations sont déjà transmises avant que l’utilisateur n’ait donné son consentement. Cela conduit à un manque de confiance et de sécurité entre les utilisateurs. Parce qu’ils ne sont pas suffisamment informés de la manière dont leurs données sont utilisées.

Bonify transmet des données personnelles à des pays hors UE

C’est choquant ce que Mike Kuketz a découvert dans son analyse très détaillée de l’application Schufa. Parce qu’il montre non seulement que Schufa viole à plusieurs reprises la loi applicable. Non, elle ne semble pas non plus se soucier de la protection des données et de notre vie privée.

Mais ça empire. Afin de réaliser le service Bonify « optimisation financière », les données personnelles sont transmises à des partenaires intermédiaires. À cette fin, Forteil, ou l’application Bonify, traite et transmet les informations suivantes de notre part à Schufa :

ID utilisateur Bonify, adresse IPv4, salutation, nom, sexe, état civil, nationalité, adresse, date de naissance, lieu de naissance, lieu de résidence, statut d’employé, données de l’employeur, revenu annuel, classe fiscale, IBAN, cotisation à l’assurance maladie, obligations d’entretien, obligations de prêt, statut de résidence, numéro de téléphone portable et notre adresse e-mail.

bonify.de

Mais ce n’est pas tout. Parce qu’il est également possible de transférer ces données personnelles vers des pays tiers tels que les États-Unis.

Les risques suivants existent lorsque des données personnelles sont transférées aux États-Unis : Il est à craindre que les autorités américaines accèdent à ces informations personnelles sur la base de la section 702 du Foreign Intelligence Surveillance Act (FISA) (PRISM et UPSTREAM).

Marvin Oppong

Hier, nous nous sommes posé la question : la Schufa devient-elle de plus en plus une autorité de contrôle ? Au plus tard aujourd’hui, il devrait être clair pour nous tous que l’application Bonify de Schufa est un cauchemar de protection des données devenu réalité.