Décision du 16 octobre 2025 – Tribunal Administratif Suprême (Pologne)
Le Tribunal administratif suprême polonais a confirmé la position du Président de l’UODO (autorité polonaise de protection des données) concernant la conservation des données des personnes ayant demandé un crédit.
Dans deux affaires distinctes, des demandeurs de crédit avaient vu leur demande refusée et leur contrat non conclu, mais leurs données continuaient pourtant d’être conservées par les établissements financiers.
Les organismes concernés invoquaient leur intérêt légitime à conserver les données « pour se protéger en cas de litige futur ».
Le Tribunal a jugé que cet argument est irrecevable lorsque aucun litige n’existe et qu’aucun contrat n’a été signé.
👉 Source officielle : https://uodo.gov.pl/pl/138/3926
Le contexte : quand une demande de crédit n’aboutit pas
Dans les deux dossiers, les personnes concernées avaient :
- déposé une demande de crédit,
- transmis des documents personnels (revenus, situation familiale, identité, solvabilité),
- puis renoncé ou été refusées.
Malgré cela, les établissements financiers ont conservé leurs données et les ont traitées au-delà de l’évaluation initiale.
Les demandeurs ont donc saisi l’UODO, qui a ordonné la suppression des données.
Les organismes ont contesté, invoquant leur intérêt légitime… contestation désormais rejetée.
La décision : pas de traitement « préventif » en anticipation hypothétique
Le Tribunal rappelle un principe essentiel du RGPD :
L’intérêt légitime ne peut être invoqué pour justifier la conservation de données pour des situations futures, incertaines et hypothétiques.
Autrement dit :
- Tant qu’aucun contrat n’a été signé,
- Et tant qu’aucun litige n’est engagé,
→ L’entreprise n’a pas le droit de conserver ou d’utiliser les données pour « se protéger » par anticipation.
La conservation ne peut être prolongée que si un contrat existe ou si un contentieux a réellement débuté.
Ce que les entreprises doivent faire
Cette décision confirme une obligation forte :
Si la demande de crédit n’aboutit pas → les données doivent être supprimées.
Cela concerne :
- Banques
- Assurances
- Micro-crédit
- Fintech
- Courtiers
- Plateformes de financement
- Organismes de vérification de solvabilité
La conservation des données doit être :
- limitée dans le temps,
- documentée,
- justifiée par une finalité réelle (et non supposée).
Il n’est pas possible de conserver les données « au cas où ».
Pourquoi cette décision est importante pour les dirigeants
Cette décision s’inscrit dans une tendance européenne plus large :
la fin de la conservation excessive et la reconcentration sur la finalité réelle du traitement.
Elle implique pour les dirigeants :
- de revoir les politiques de rétention des données,
- d’ajuster les durées de conservation dans les SI et CRM,
- de vérifier que les équipes commerciales et conformité appliquent le principe de suppression automatique.
C’est aussi un sujet de confiance client : conserver des données sans raison est perçu comme une forme de méfiance ou de captation injustifiée.
Conclusion : le RGPD réaffirme la logique « besoin → traitement »
Le Tribunal confirme ici un message central du RGPD :
Si une donnée n’est plus utile à la finalité initiale, elle doit être supprimée.
La conformité n’est pas qu’une obligation juridique —
c’est aussi une démarche de confiance, de transparence et de sobriété dans l’usage de la donnée.
