Le crédit et la protection des données personnelles
Publié le :
25/09/2008
25
septembre
sept.
09
2008
Par nécessité légale ou technique, les banques et organismes de crédit disposent d’un certain nombre d’informations sur la situation personnelle et financière de leurs clients.
La protection des données personnelles collectées par les banquesLes banques et organismes de crédit recueillent les données d’identification les concernant, ils collectent les incidents de remboursements des crédits en cours et mémorisent tous les renseignements relatifs à la demande et l’attribution de crédit : situation personnelle et familiale de l’emprunteur, ses capacités de remboursement, ses garanties, sa note de risque en fonction du potentiel attribué (segment, score…).
Compte tenu des risques d’atteinte à la vie privée liés à la détention de ces informations personnelles, la loi « Informatique et Libertés » du 6 janvier 1978, modifiée par la loi du 6 août 2004, et son organe de contrôle et de protection, la CNIL au fil de ses recommandations à l’attention du secteur du crédit, sans cesse à la recherche d’un équilibre entre impératifs de sécurité bancaire et respect des libertés individuelles, imposent aux organismes de crédit le respect de certaines garanties:
1. Le traitement d’informations personnelle et financières doit en principe faire l’objet d’une déclaration préalable auprès de la CNIL établie sur un imprimé spécial (norme simplifiée n° 13) disponible auprès de la CNIL (www.CNIL.fr), comportant la mention d’une finalité précise et légitime, autre que le seul intérêt professionnel de l’établissement de crédit.
Toutefois, les traitements dont la finalité est d’attribuer une note à un client afin d’apprécier le risque contractuel lié à ce client et de lui refuser le cas échéant l’octroi d’un crédit (système du scoring), sont soumis, conformément à l’article 25-4 de la loi du 6 janvier 1978 modifiée, au régime d’autorisation de la CNIL, laquelle aura en outre en charge de vérifier les variables utilisées dans le calcul du score et de contrôler les procédures d’utilisation des systèmes de scoring.
2. Le traitement ne peut concerner que des données dites non sensibles, exactes et pertinentes pour la gestion des crédits.
En dehors de quelques exceptions prévues par la loi, le traitement ne pourra concerner des informations ayant trait aux origines raciales, ethniques, aux opinions politiques, philosophiques ou religieuses, à l’appartenance syndicale, la santé ou l’orientation sexuelle de l’emprunteur.
Tout particulièrement, la CNIL a refusé aux établissements de crédit d’utiliser les numéros de sécurité sociale (NIR) dont l’usage reste limité à la sphère de la santé et à la sphère sociale.
(Recommandation CNIL du 26 février 2006)
La collecte des données doit être loyale et licite, sans jugement de valeur ou commentaire subjectif et la conservation ne doit pas excéder la durée nécessaire aux finalités pour lesquelles elle est effectuée.
3. Le responsable de traitement doit informer la personne dont les données sont collectées de l’existence de son droit d’accès, de rectification et d’opposition ;
(Loi 78-17 du 6 janvier 1978, art 7 et 39)
La CNIL considère que les personnes dont les données personnelles et financières sont collectées doivent pouvoir avoir connaissance, non seulement des données nominatives relatives à leur personne, mais aussi des mentions relatives à leur éventuelle segmentation et obtenir la signification de cette segmentation, « sans qu’il y ait lieu de rechercher si des décisions ou des résultats leur ont été opposés sur la base de ces informations ».
(Délibération n° 93-032 du 06 avril 1993)
4. Les informations personnelles et financières enregistrées par l’organisme de crédit sont couvertes par le secret bancaire et le responsable de traitement est tenu de prendre « toutes les précautions utiles » pour empêcher que ces informations « ne soient communiquées à des tiers non autorisés »
(Loi 78-17 du 6 janvier 1978, art 34).
Le programme de surveillance des transactions financières internationales par le réseau de la société SWIFT organisant le transfert de ces données vers les autorités américaines révélé en juin 2006 a par conséquent été jugé contraire aux règles françaises et européennes de protection des données par le Groupe de coordination des autorités européennes de protection des données (G29).
Le 8 mars 2007, la CNIL a renouvelé son refus d’autoriser la création d’une base de données centralisée sur les crédits aux particuliers (fichiers dits « centrales positives ») dont l’objet, régulièrement à l’ordre du jour, est de permettre aux établissements de crédit intéressés de partager tous les renseignements dont ils disposent sur leurs clients et sur les crédits qu’ils leur ont octroyés.
La CNIL a toutefois autorisé l’instauration d’échanges d’informations entre sociétés filiales afin de lutter contre les tentatives d’obtentions irrégulières de crédit, et prévenir des impayés sous les réserves suivantes :
- légitimité de la finalité consistant à prévenir la fraude et les impayés
- caractère ponctuel et limité de l’échange d’informations entre les bénéficiaires de l’échange qui intervient uniquement entre des sociétés spécialisées dans le crédit à la consommation et soumises au secret bancaire
- existence d’une communauté de risque financier,
- autorisation explicite du client de partager des informations couvertes par le secret bancaire par le biais d’une clause particulière de l’offre de crédit, insérée dans la zone de signature, précisant les finalités et les bénéficiaires de l’échange.
(Recommandation du 16 novembre 2006 CETELEM et COFINOGA)
Cet article n'engage que son auteur.