La question de la protection des données à caractère personnel se pose avec une acuité particulière dans le secteur bancaire. La nature des données traitées, la très large population concernée ainsi que les types de traitements effectués sont tels que la Cnil a très tôt porté son attention sur ce secteur, que ce soit en matière de réglementation, via la rédaction de normes simplifiées ou d’autorisations uniques, mais également en matière de sanction et de contrôle
Le secteur bancaire dans la ligne de mire
Le domaine bancaire a fait l’objet du plus grand nombre de condamnations par la Cnil, en termes d’avertissements ou de sanctions. La première sanction prononcée par la Cnil a d’ailleurs visé un établissement bancaire. Dans sa formation contentieuse du 15 juillet 2010, la Cnil a, par exemple, mis en demeure deux banques, l’une pour une inscription irrégulière au FICP et l’autre pour non-respect de la confidentialité des données de clients.
Le transfert des données bancaires, plus particulièrement vers des pays n’appartenant pas à l’Union Européenne est lui aussi très encadré et surveillé par la Cnil. L’accord Swift en est un bon exemple. Le Parlement européen a donné son feu vert à l’accord Swift 2 en juillet 2010 qui porte sur le transfert vers les Etats-Unis des données sur les transactions interbancaires en Europe. Cet accord vient encadrer l’accès par les États-Unis au système de la société européenne Swift, qui gère, pour le compte des banques, des millions de transferts financiers internationaux quotidiens. Le Parlement européen a notamment obtenu l’obligation d’une évaluation par Europol de la légitimité du transfert avant tout envoi vers les États Unis.
Il est intéressant de faire un rapide panorama des principaux traitements mis en œuvre dans le domaine bancaire avant de se pencher sur la mise en œuvre des obligations issues de la loi Informatique et libertés.
Les traitements du secteur bancaire
Les principaux traitements du secteur bancaire peuvent être classés en trois catégories :
- les traitements centralisés ;
- les traitements relatifs à la gestion des clients mis en œuvre par chaque établissement financier ;
- les traitements plus sensibles nécessitant une autorisation préalable de la Cnil.
Les traitements centralisés
Les traitements centralisés, sans être mis en œuvre directement par les banques, obligent celles-ci à respecter un certain nombre d’obligations issues de la réglementation Informatique et libertés.
Ainsi, le seul fait d’inscrire un client d’une banque dans l’un de ces fichiers peut avoir des répercussions pour ces établissements. Certains étant considérés comme des listes noires, les établissements financiers doivent être très vigilants avant de procéder à une telle inscription ou doivent être très réactifs lors d’une demande de mainlevée d’une inscription. L’inscription irrégulière peut entraîner des sanctions de la Cnil. La première sanction prononcée par la Cnil a d’ailleurs porté sur le retard pris dans la mainlevée d’une inscription dans le fichier des incidents de remboursement de crédit.
Les grands fichiers (voir l'encadré) mis en œuvre au niveau national sont notamment le fichier national des comptes bancaires et assimilés (Ficoba), le fichier central des chèques (FCC), le fichier national des chèques irréguliers (FNCI), le fichier des retraits de cartes bancaires « CB », ou encore celui des incidents de remboursement de crédit (FICP).
Il est ainsi important pour les établissements bancaires de mettre en place des procédures permettant de respecter strictement les conditions d’inscription dans ces types de fichiers. La mise en place d’une cellule d’accès permettrait également de prendre des mesures rapides lors d’une demande de mainlevée dans l’un de ses fichiers.
Les traitements propres à l’activité bancaire
La Cnil a facilité la mise en oeuvre des traitements propres à l’activité bancaire en édictant une dispense de formalités préalables ainsi que deux normes simplifiées.
La liste d’initiés, obligatoirement mise en œuvre par toute banque ou société d’instruments financiers admise aux négociations sur un marché réglementé, a fait l’objet d’une dispense de déclaration par la Cnil. Les établissements bancaires concernés ne doivent donc pas effectuer de formalités préalables auprès de la Cnil, cela ne les dispensant pas du respect des obligations issues de la loi Informatique et libertés, notamment quant au droit d’accès à ces fichiers par les personnes inscrites dans ce traitement ainsi qu’à la durée de conservation de ces données.
La gestion de la tenue des comptes a fait l’objet par la Cnil d’une norme simplifiée. Ainsi, un établissement bancaire n’a à effectuer qu’un engagement de conformité à cette norme simplifiée dès lors qu’il respecte bien les différentes informations qui figurent dans cette dernière, notamment au regard de la nature des données collectées, des destinataires et également de la durée de conservation des données.
La Cnil a édicté également une norme simplifiée pour les traitements relatifs à la gestion des crédits des personnes physiques. Ce type de traitement contient le plus souvent des informations sensibles au regard de la réglementation. Tout client qui remplit un dossier de demande de crédit souscrit simultanément une assurance. Cette souscription nécessite la communication de données relatives à l’état de santé de l’emprunteur. À cet égard, la Cnil rappelle, dans sa norme, que ces données de santé ne doivent être consultées que par des personnes qui ont la qualité de professionnels de santé. Ainsi, un conseiller bancaire ne devrait pas avoir accès aux données de santé nécessaires à l’obtention de l’assurance, celle-ci devrait être envoyée sous pli confidentiel par le client demandeur d’un crédit directement à son assurance. Peu de banques respectent cette obligation.
Ainsi, chaque établissement bancaire mettant en œuvre de tels traitements doit les déclarer auprès de la Cnil soit en effectuant un engagement de conformité à ces normes simplifiées, soit en effectuant une déclaration normale si le traitement envisagé n’entre pas strictement dans le cadre de ces normes. À cet égard, il convient d’effectuer un audit des différents traitements mis en œuvre afin de déterminer s’ils sont conformes aux normes édictées
Les traitements sensibles du secteur bancaire
Certains traitements mis en œuvre par les banques, bien que fréquents, sont strictement encadrés par la loi Informatique et libertés. Ils nécessitent l’accord préalable de la Cnil via soit une demande d’autorisation, soit un engagement de conformité à une autorisation unique émise par la Cnil.
La Cnil a émis le 1er décembre 2005 une autorisation unique de certains traitements de données à caractère personnel mis en œuvre dans les organismes financiers au titre de la lutte contre le blanchiment de capitaux et de financement du terrorisme. Cette autorisation unique permet aux établissements financiers de remplir des exigences légales complexes en matière de lutte contre le blanchiment tout en adhérent à une procédure administrative simplifiée.
La Cnil a également pris en compte les techniques de scoring mises en œuvre par les établissements de crédit pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédits en édictant une autorisation unique. Ces traitements sont strictement encadrés par la réglementation en ce qu’ils ont pour objet de sélectionner la clientèle à des fins d'octroi de crédit ou de prêt à partir d'outils de notation ou de score et sont ainsi susceptibles d'exclure une personne du bénéfice d'un contrat de crédit sans qu'aucune disposition législative ou réglementaire ne prévoie une telle exclusion. L’autorisation unique ne permet plus de se baser sur le sexe du demandeur pour le calcul du score, et ce, afin de se conformer à la législation en matière de discrimination.
La Cnil a rappelé à plusieurs reprises que seuls les éléments se rapportant directement à l'emprunteur ou en rapport avec le financement et présentant un lien de corrélation notoire, direct et étroit avec le risque de défaut de l'emprunteur pouvaient être pris en compte pour le calcul du score. Ainsi, la Commission a rejeté une demande d’autorisation dans laquelle il était prévu de prendre en compte la différence d’âge entre l’emprunteur et son conjoint ainsi que le type de numéro de téléphone de l’
Les établissements qui mettent en œuvre des traitements sensibles doivent vérifier qu’une autorisation de la Cnil a bien été obtenue ou qu’un engagement de conformité à une autorisation unique a bien été effectuée.
La mise en œuvre des obligations
La loi Informatique et libertés impose de nombreuses obligations au responsable des traitements, notamment le respect du droit des personnes concernées et la mise en œuvre de moyens de sécurité conforme donc à cette loi.
Le droit des personnes concernées
La Cnil a publié un guide à l’attention des clients des banques afin qu’ils connaissent leurs droits et qu’ils puissent les faire valoir. Les établissements bancaires doivent ainsi informer leurs clients des différents traitements dont ils font l’objet. La plupart du temps les clients sont informés au moyen de leurs conventions de compte. Toute personne doit également être informée de son inscription dans l’un des fichiers centralisés, tel que le FICP ou le FCC.
Enfin, les clients doivent donner leur accord avant tout transfert de leurs données. Une banque ne peut donc pas communiquer les informations relatives à son client aux autres entités de son groupe si le client n’a pas donné son accord. Ainsi, il est primordial pour les établissements bancaires d’implémenter des mentions d’informations relatives aux traitements mis en œuvre et aux droits des personnes concernées sur tout document permettant de collecter des données à caractère personnel.
Toute personne faisant l’objet d’un traitement de données à caractère personnel a un droit d’accès, de rectification et d’opposition à ce traitement. Les banques doivent donc accéder à toute demande effectuée par un client faisant l’objet d’un traitement, dans un délai de deux mois sous peine de sanctions. Les sanctions prononcées par la Cnil font souvent suite à des demandes effectuées par des clients qui sont restées sans réponse. Là encore, la création d’une cellule droit d’accès permet de mettre en place une procédure conforme aux exigences de la réglementation Informatique et libertés.
Les informations qui sont collectées auprès des clients doivent être proportionnées aux finalités du traitement. La question de la personnalisation des cartes bancaires peut se poser puisqu’il a été émis l’idée de rassembler au sein d’une même carte des informations financières, mais également des cartes de fidélité des différentes personnes concernées. Les banques posséderaient énormément d’informations sur leurs clients et notamment sur leurs comportements d’achat. Ces traitements ne doivent pas être utilisés à d’autres fins que ceux autorisés par les clients.
Les banques ont d’ailleurs beaucoup d’informations sur leurs clients, ne serait-ce que par le détail des transactions financières effectuées sur un compte bancaire. C’est en cela que celle-ci doit veiller à garder strictement confidentielles ces données et ne permettre un accès à celles-ci que par les personnes concernées.
Celles-ci ont également un droit à l’oubli. Il n’est pas possible de conserver des données de façon indéterminée : une fois que le client ne fait plus partie d’une banque, les données le concernant ne doivent être conservées que pendant une durée proportionnée à la finalité du traitement, la plupart du temps pendant la durée des prescriptions légales. Pour les différents fichiers centralisés qui sont mis en œuvre, les incidents de paiement ne doivent pas être conservés de façon indéterminée. Beaucoup de sociétés ont mis en place des codes de l’archivage permettant de déterminer avec précision les durées de conservation des données selon la finalité des traitements mis en œuvre.
La sécurisation des données bancaires
La question de la sécurité des données se pose à plusieurs niveaux. D’une part, les établissements bancaires doivent assurer eux-mêmes la protection des données des clients, mais également prendre toutes les mesures pour que leurs sous-traitants en fassent de même.
La loi Informatique et libertés impose des moyens de sécurisation très forts qui doivent permettre de conserver les données de telle sorte qu’aucune intrusion par des tiers ne soit effectuée. Cette lourde obligation est la plupart du temps mise en œuvre par les banques du fait des données financières qui sont collectées et également du fait du développement des différentes fraudes notamment à la carte bancaire qu’ont connu les banques ces dernières années. Il est intéressant pour les établissements bancaires d’effectuer un audit des mesures de sécurité mises en œuvre afin d’analyser le niveau de conformité à la réglementation Informatique et libertés.
Nommer un correspondant Informatique et libertés
Ainsi les établissements bancaires doivent mettre en œuvre une réelle politique en matière de protection des données à caractère personnel. Celle-ci peut se traduire par la désignation d’un correspondant Informatique et libertés, personne en charge de veiller au respect de la réglementation par l’établissement bancaire, en répertoriant notamment les différents traitements mis en œuvre, mais également en sensibilisant les opérationnels sur les enjeux de la protection des données à caractère personnel. Cette politique peut également être renforcée par la mise en place d’une charte Informatique et libertés annexée au règlement intérieur de l’entreprise.
