Une fausse autorité a vendu des données TÜV à Carcert

Presque un compteur de vitesse sur trois en Allemagne est manipulé avant la vente d’une voiture d’occasion. Une arnaque lucrative pour les fraudeurs, avec laquelle ils escroquent en moyenne 2 600 euros par véhicule. Les médias allemands ont rapporté avec euphorie la start-up Carcert lorsqu’elle a lancé un certificat pour le kilométrage réel à la fin de 2021. “La filiale de Bertelsmann veut arrêter la manipulation du compteur kilométrique des voitures d’occasion”, titrait alors le Handelsblatt. Pour un peu moins de 30 euros, le propriétaire peut consulter en quelques minutes le “curriculum vitae” de son véhicule – et ainsi établir la confiance avec des acheteurs potentiels.

En ce qui concerne l’origine des données nécessaires, Carcert a expliqué qu’il utilisait les résultats des principales inspections des centres d’essais techniques. Le kilométrage des véhicules y est également enregistré. La certification est entièrement automatique et pilotée par logiciel. Selon Carcert, un responsable renommé de la protection des données a rédigé un avis juridique détaillé. Pour le moment, tout ressemblait à un accord de conte de fées pour les deux investisseurs : le groupe Bertelsmann (40 %) et le géant irlandais des données Experian (60 %).

Un partenariat explosif doit rester secret

En fait, la startup a caché un détail clé : selon une étude de Business Insider, le modèle commercial est basé sur un accord de données illégal avec une fausse autorité. Le présent “Accord de coopération” du 31 mars 2021 stipule : “Carcert et FSD ont convenu (…) que FSD fournira à Carcert les informations disponibles sur les véhicules (…) pour la création des certificats susmentionnés.” partenariat explosif – et ainsi de suite il est dit plus loin dans le document – qui doit absolument rester secret.

FSD Fahrzeugsystemdaten GmbH a été fondée à Dresde en 2004 et compte 230 employés. Selon le registre du commerce, FSD est une coentreprise privée de centres d’essais techniques et d’experts en véhicules en Allemagne – mais l’entreprise est contrôlée par l’État. L’organe de surveillance est composé de ministères des Länder de Saxe, Saxe-Anhalt, Brême, Hesse et Thuringe. La raison : Depuis 2011, la FSD développe et évalue pour le compte de l’État des spécifications d’essai contraignantes pour les inspections de véhicules régulières et contraignantes.

L’entreprise de Dresde perçoit un euro pour chaque inspection TÜV en Allemagne

Les juristes parlent de “prêt” lorsqu’une entreprise privée reçoit des pouvoirs souverains. Le mandat légal du FSD est défini avec précision dans l’annexe VIIIe du règlement sur les licences de circulation routière (StVZO). Selon cela, le “bureau central” prépare les informations du constructeur automobile pour la surveillance des véhicules en matière de sécurité routière, de compatibilité environnementale ou de conformité aux réglementations, développe et brevète de nouvelles méthodes et met les spécifications développées à la disposition du TÜV, entre autres. En rémunération des prestations, un euro revient à la FSD pour chacune des 30 millions d’inspections générales annuelles.

De plus, l’autorité fictive reçoit toutes les informations vérifiées sur les véhicules pour ses activités d’intérêt public. En plus des données personnelles, des numéros d’identification et des informations détaillées sur les défauts détectés, cela comprend également le kilométrage actuel. Une véritable mine de données qui suscite des envies, mais selon le règlement d’admission “seulement appropriée” et ne peut être transmise à d’autres organismes.

Une détermination claire que la direction du FSD au printemps 2021 semble avoir ignorée ou voulu ignorer. Car à cette époque, le directeur général de FSD, Jürgen Boenninger, a signé un « accord de coopération » de grande envergure avec la filiale de Bertelsmann, Carcert. Un accord gagnant-gagnant, disait-on à l’époque en interne : d’une part, FSD recherchait un soutien externe afin de pouvoir répondre aux demandes d’information des propriétaires de véhicules dans le cadre du Règlement général sur la protection des données (RGPD). D’autre part, Carcert avait besoin des données TÜV pour le certificat du compteur de vitesse. De cette manière, les partenaires combinaient en toute liberté les exigences légales avec la recherche de millions de chiffre d’affaires.

Le patron de FSD a signé un accord illégal et vendu des informations personnelles sur sa voiture pour 35 cents par enregistrement

Le plan d’affaires est spécifiquement consigné dans le contrat, en page 1 il est écrit : « Dès qu’un détenteur ou propriétaire d’un véhicule à moteur (personne concernée) demande une attestation pour son véhicule à Carcert et dans la mesure où Carcert donne son accord à la collecte de données et commissions correspondantes Carcert , (…) pour lui des informations au sens de l’article 15 RGPD
pour l’obtenir, Carcert transmet le numéro d’identification du véhicule (VIN) correspondant à FSD. FSD vérifie si et quelles informations sur le véhicule sont disponibles pour le VIN et les transmet à Carcert.

Il a été convenu que le carrousel de données valait la peine pour tout le monde : selon l’accord de coopération, Carcert paie 35 centimes à la fausse autorité pour un ensemble de données fourni à partir d’une inspection principale. Si plusieurs ensembles de données sont stockés pour un véhicule, le montant passe à 60 centimes. Carcert, en revanche, facture à ses clients 29,99 euros pour un CV automobile. Le point fort : il s’agit d’informations qu’un propriétaire de véhicule peut également consulter directement à partir de FSD – gratuitement.

Le strict secret quant à la provenance réelle des données a donc été décisif pour le modèle commercial. Le contrat stipule, entre autres : “Dans le cas où Carcert fournirait aux données obtenues du FSD une marque d’origine lorsqu’elles sont transmises ou publiées, cela se lit ‘inspection principale’.” Apparemment, il n’y avait aucune trace visible de plomb à Dresde et les propriétaires de voitures à la fausse autorité pour attirer l’attention.

Quelques mois après le début des opérations de Carcert, TÜV, Dekra and Co. ont débranché

Carcert a été mis en ligne en novembre 2021. Les médias – y compris Business Insiders – ont attiré l’attention sur le nouveau service, les propriétaires de voitures d’occasion ont acheté des certificats et la FSD a discrètement collecté les données fournies. Tout s’est passé comme prévu. Mais quelques mois plus tard, FSD a de nouveau coupé la ligne. Dans une lettre à Carcert datée du 3 février 2022, le directeur général Bönninger explique que les actionnaires – c’est-à-dire TÜV, Dekra and Co. – ont décidé de suspendre immédiatement la coopération. Il existe de sérieux doutes quant à la légalité de l’accord. Peu de temps après, FSD résilie le contrat. D’une part à cause des factures impayées, d’autre part à cause de la protection des données. La justification indique : « L’offre spécifique de Carcert représente une utilisation abusive du droit à l’information de la personne concernée.

S’ensuit une bataille juridique qui se poursuit à ce jour. Les plaidoiries, les allégations et les demandes financières ont circulé pendant des mois. Au second semestre 2022, le groupe Bertelsmann s’est retiré du projet scandaleux et a laissé ses parts aux Irlandais, qui en sont désormais l’unique actionnaire. Experian a alors déposé une plainte auprès du tribunal de district de Dresde, exigeant la poursuite de la coopération ou une indemnisation. Valeur litigieuse : plus de trois millions d’euros.

Avec sa “conduite en rupture de contrat”, la FSD empêcherait Carcert de poursuivre son activité, dans laquelle elle a investi des millions dans la construction et qui a des “avantages sociaux”, lit-on dans le procès. Les préoccupations de FSD en matière de protection des données ne sont que simulées. Au contraire, l’actionnaire Dekra est à l’origine de la rupture de contrat, affirment les avocats. Le service de test a développé un produit concurrent pour la plausibilité du kilométrage et veut simplement balayer un concurrent du marché.

Maintenant, les anciens partenaires commerciaux se poursuivent

Dans une demande reconventionnelle, les avocats de FSD rejettent l’ensemble de ces allégations et exigent le remboursement des frais de mise en place d’une plateforme de données. Selon la plainte, Carcert poursuit simplement un “modèle commercial illégal”. La startup ne visait que l’utilisation gratuite du trésor de données. Il avait réussi à “convaincre la direction (de FSD) de conclure des accords de coopération appropriés, sans toutefois que les aspects essentiels de la protection des données et du droit de la circulation routière soient du tout vérifiés et respectés”. Règlement de protection et la violation des compétences étatiques de la FSD.

Alors, l’accord était-il simplement le travail d’une pieuvre de données à but lucratif et d’un PDG casse-cou ? Pourquoi les régulateurs de l’État n’ont-ils rien remarqué à ce sujet ? Des questions auxquelles la FSD ne répond pas pour le moment. Lors de l’appel téléphonique, le nouveau patron Philipp Schuricht explique qu’une déclaration de l’entreprise de Dresde doit d’abord être convenue avec tous les comités. Le ministère saxon des Affaires économiques n’a fait aucun commentaire.

Une porte-parole de Carcert explique : “Nous vous demandons de comprendre que nous ne pouvons commenter aucun détail, en particulier sur les procédures judiciaires en cours.” Cependant, elle souligne ensuite en détail que la protection des données a la “priorité absolue” dans le concept de Carcert et affirme qu’il n’y a n’aurait pas occulté l’origine des données.

La page d’accueil de Carcert n’est désormais plus accessible. Au cours de la courte période d’exploitation, des centaines de propriétaires ont commandé une attestation kilométrique. FSD a fourni les informations personnelles pertinentes sur le véhicule à Carcert moyennant des frais. Où sont les données maintenant ? En petits caractères, Carcert a répertorié les destinataires et utilisateurs possibles sur 16 pages.